Aujourd’hui, nous constatons une véritable prolifération des modèles économiques s’appuyant sur la commercialisation de données volées. En effet, le marché de la cybercriminalité demeure très dynamique et s’est progressivement ouvert au-delà du simple recel de numéros de cartes de crédit. Quels types d’informations sont actuellement les plus recherchées et les plus accessibles sur ce marché noir ? A quel prix sont-elles monnayées ?
Sur le Net, les données liées aux moyens de paiement sont les plus fréquemment dérobées. Par corrélation, avec une offre de valeur des plus large, leur tarif de revente (estimé à quelques dollars) est quasiment le plus bas du marché. Cette tendance s’explique notamment par la recrudescence de leurs vols, l’utilisation de plus en plus régulière des cartes à puces et des codes PIN, ainsi que par la rapidité de traitement des transactions bancaires. Les données relatives aux identifiants bancaires couplées à des informations personnelles verront leur prix monter en flèche. On constate qu’associées à des informations plus personnelles (adresse, nom d’utilisateur, mot de passe, etc.), elles sont aujourd’hui revendues entre 30 et 45 dollars, selon les pays. Cela sans compter les différentes options qui deviennent désormais accessibles aux cybercriminels les plus chevronnés telles que l’identification de la banque et du pays émetteurs, le solde du compte, la visibilité du plafond de retrait possible, l’utilisation à un guichet automatique, en ligne ou en boutique, etc. ce qui amplifie considérablement les risques.
La chaîne de valeur des données volées
Si les numéros de cartes de crédit se sont imposés comme la base du marché noir de données dérobées, ils ne valent quasiment rien sans information additionnelle. En effet, il faut bien comprendre que plus on avance dans la chaîne de valeur des données et plus les éléments liés à des codes d’identification de moyens de paiement ou à des services bancaires, ne prendront de valeur qu’en fonction du solde du compte en banque. Actuellement, sur le marché noir, il est, par exemple, possible d’acquérir des informations liées aux identifiants de connexion d’un compte bancaire pour moins de 5 % du solde de ce dernier.
Preuve de l’organisation et de la maturité de l’économie du cyber-crime, certains vendeurs proposent même de faire des échanges si le compte acheté n’est pas aussi créditeur qu’annoncé, là ou d’autres misent sur les comptes de réputation, de fidélité ou autres outils de fidélisation client en ligne.
L’importante demande et les opérations de vol automatisées ont participé à favoriser l’attractivité du marché de la donnée. Aujourd’hui, il est possible de se procurer au marché noir tout type d’identifiants à des prix dérisoires, que ce soit pour accéder à la lecture en ligne de bandes dessinées (0,55$) ou pour regarder des vidéos en ligne (1$ max). Cependant, les tarifs ont tendance à augmenter lorsqu’il s’agit de regarder des chaînes thématiques (7,50 $) ou du sport en direct (15 $).
Le monde de l’entreprise n’est pas épargné
De manière plus rare et plus spécifique, certains identifiants de connexions d’entreprises sont aussi demandés. C’est notamment le cas de certaines compagnies œuvrant dans des secteurs d’activités sensibles, telles que la banque, l’aéronautique, l’industrie et de façon plus globale les métiers confrontés à la problématique d’infrastructures critiques. Nous pouvons ici faire la comparaison avec le marché des objets d’art où les prix ne sont pas clairement affichés et où la valeur marchande sera négociée entre l’acheteur et le vendeur.
Avec une recrudescence du nombre de fuite de données au cours des deux dernières années, il n’est pas surprenant de constater l’accessibilité d’autant de données personnelles accessibles à la vente au marché noir. Avec l’immensité que représente le Dark Web aujourd’hui, tout porte à croire que l’étendue de données et des économies associées ne sont pas prêtes de cesser de surprendre les acteurs de la surveillance du Net. En effet, au-delà des typologies de données volées susmentionnées, le Dark Web ne cesse d’étendre son spectre et permet d’acquérir également des informations plus personnelles telles que des identités complètes avec la date d’anniversaire de l’individu, des accès à des comptes de messagerie personnels ou à des réseaux sociaux, des données médicales, etc.
A l’heure où les Etats s’interrogent sur les données personnelles en ligne, que ce soit en termes de sécurité ou encore de portabilité, la cybercriminalité doit passer le stade de l’immatériel. Une trop grande majorité d’individus ne semble pas la percevoir comme le prolongement numérique de la criminalité. Or, il important que chacun prenne conscience que nous tendons de plus en plus vers un modèle où les données devront être masquées/encryptées pour être assuré de leur invulnérabilité. Cela apparaît désormais comme une nécessité pour bâtir un monde connecté sûr et assurer la protection de la vie numérique de chacun d’entre nous et des générations futures.