Données personnelles : vous seriez surpris en découvrant leur (faible) prix sur le dark web

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 09 septembre 2020 à 10h55

Les informations relatives aux cartes bancaires ne se vendent que pour quelques dizaines de dollars sur le marché noir, véritable supermarché des pirates informatiques.

Que des données personnelles volées se retrouvent sur le dark web, cela n'a rien d'un mythe : c'est bien une réalité. On y retrouve des numéros de cartes de crédit, des permis de conduire, des comptes issus de divers médias sociaux, des logiciels malveillants ou des attaques par déni de service (DDoS) sur commande, la liste étant, bien entendu, incomplète. Mais alors que l'on peut penser que nos informations personnelles se vendent à des prix qui ne sont pas forcément accessibles à toutes les bourses, certaines données, que nous venons d'évoquer à l'instant, se monnayent à des tarifs dérisoires.

Un marché qui semble répondre à la loi de l'offre et de la demande

Pour montrer à quel point il est, entre guillemets, « facile » pour des hackers de se procurer des informations personnelles, les chercheurs de Privacy Affairs ont mis en ligne leur indice des prix du dark web pour 2020. Celui-ci, mis à jour assez régulièrement, offre un large panorama de ce que l'on peut retrouver sur le dark web et surtout, à quel tarif.

Dans les bas-fonds de l'Internet, le vaste marché possède un rayon bien fourni en cartes bancaires. Et il y a en a pour tous les goûts. On y retrouve par exemple une carte VISA clonée avec un code PIN pour 25 dollars, une American Express contre 35 dollars et, encore plus accessible, une Mastercard en échange de 15 petits dollars. Les informations relatives à la carte de crédit varient entre 12 et 20 dollars selon le solde du compte que le pirate veut atteindre, tandis que les données relatives aux comptes bancaires en ligne, elles, se négocient pour 35 ou 65 dollars, ce dernier tarif offrant l'accès à un compte dont le solde minimum est de 2 000 dollars.

Régies par la loi de l'offre et de la demande, les données d'accès à des comptes de réseaux sociaux varient selon les mesures de sécurité des différentes plateformes, renforcées pour la plupart, ce qui entraîne une baisse de la demande. Un compte Twitter piraté coûtera moins cher (49 dollars) qu'un compte Instagram (55,45 dollars) ou Facebook (74,5 dollars). On notera que dans ce rayon, le dark web propose aussi des gains d'abonnés, des likes ou des retweets, selon le réseau. Des opérations dont les montants varient entre trois et 25 dollars.

Des attaques DDoS à partir de dix dollars

Un compte Gmail piraté vaut autour de 156 dollars. C'est bien plus que tous les « produits » que nous venons d'évoquer. Mais pourquoi ? « Cela peut s'expliquer par le fait que de nombreuses personnes utilisent des options de connexion unique, ce qui signifie qu'un compte de messagerie électronique compromis pourrait ouvrir tout un trésor de données et un accès à divers autres services », explique Benoit Grunemwald, expert en cybersécurité chez ESET France.

Sur le marché noir de l'Internet, on retrouve également des produits plus complexes, plus coûteux, mais dont les effets peuvent souvent être dévastateurs pour celles et ceux qui en sont victimes. Certains cybercriminels se proposent par exemple de mener une attaque par déni de service (DDoS) et d'envoyer dix à 50 000 requêtes par seconde durant une heure, 24 heures, une semaine voire un mois, à des tarifs qui varient en fonction de la durée notamment, allant de dix dollars pour l'heure à au moins 800 dollars pour le mois.

Enfin, le dark web propose même à ses acheteurs potentiels diverses formes de logiciels malveillants, dont les prix varient cette fois de 70 dollars pour un malware de faible qualité avec un faible taux de réussite à 6 000 dollars pour le logiciel malveillant dit « premium ». Ah, la société de consommation !

Pour éviter que vos données puissent se retrouver sur le dark web, il est bon de rester attentif au quotidien. Cela passe par l'adoption de l'authentification à multiples facteurs (bien que l'on ait pu voir qu'elle n'était pas un gage de sûreté absolue, par exemple chez Amazon), la mise à l'écart du Wi-Fi pour consulter ses comptes sensibles ou de solides mots de passe, différents pour chacun des services et applications que vous utiliserez.

Source : Privacy Affairs

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Données personnelles

Logiciels & services

Régulation numérique

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

xryl

Je ne comprends pas la logique ici. Si une Visa associée à un compte de 2000$ est vendue 20$, pourquoi le pirate ne vide-t-il pas le compte directement ?
Le bénéfice dans ce cas sera 100x plus important pour le même risque (après tout, si l’acheteur se fait attraper, il donnera le contact du pirate, donc in fine, le pirate risque autant que de faire ses achats lui même).

GRITI

Le pirate est sûrement bien plus à l’abri en revendant les infos qu’en vidant les comptes.

Si les prix sont si bas, cela signifie peut-être par exemple que ces données son très faciles à obtenir et que donc il y en a beaucoup de disponibles. Ce qui fait chuter les prix.

L’authentification à double facteur si c’est pour donner mon numéro de portable aux sites marchands, sans façon.

Mode parano ON:
Je me demande d’ailleurs s’ils ne peuvent pas faire le lien ensuite entre le smartphone, le numéro, les contacts qui ont ce numéro et qui ont par exemple installé une appli d’un site marchand (ex Amazon).

trikkle

Par ce qu’il ne faut pas se faire attraper après. Tu fais comment pour récupérer l’argent ? Tu fait un virement direct sur ton compte ? On va vite te retrouver C’est le même principe que pour de l’argent sale.

Furax

Article intéressant. Le concept d’offre et de demande fonctionne bien ici aussi!

Par contre point noir pour le titre qui reprend tous les principes des pubs à la c** qu’on voit partout sur Internet… Ca ne donne pas une impression de sérieux en tout cas à mon goût.

Aristote76

Ça prouve surtout que si il avait pas de gens malhonnêtes pour alimenter ce marché il régresserai de lui même, et que si les organisme financiers voulaient payer le prix de la sécurité ce marché n’existerai quasiment pas. Seulement voilà les financiers réfléchissent en coût de revient et les bandits en si je peut avoir sans rien faire.

xryl

Justement, si tu te fais attraper, tu vas donner le contact du pirate, donc il est grillé. (Puisqu’il t’a envoyé la CB, il est traceable, je pense).

cirdan

« la mise à l’écart du Wi-Fi pour consulter ses comptes sensibles »
En même temps, les banques sont en train de, littéralement, lier les mains de leurs clients en les obligeant de plus en plus à utiliser leur application smartphone pour avoir simplement accès à la consultation de leurs comptes par internet.
C’est une pratique détestable, dangereuse et qui laisserait sur le carreau beaucoup de personnes.
J’espère qu’ils vont bien réfléchir et faire machine arrière sur leurs exigences, ou alors le législateur devra assumer ses responsabilités pour garantir aux clients des services non contraints.

AlexLex14

Merci pour l’article.

Le tire, en revanche, n’a pas été choisi pour « faire comme. » Il y avait tellement d’infos chiffrées à donner que j’ai préféré un titre général et qui donne envie un minimum.

Attention par contre : donner envie ne veut pas dire putaclic !

Jetto

J’imagine un système de sigle signe on sans échange de mot de passe, basé sur les preuves nulles de divulgation de connaissances.

GRITI

Je suis le premier à râler quand il y a des articles avec titres putaclics sur Clubic (CF la news sur la PS5 en or massif…alors que c’est du plaqué or).
Dans le cas de cet article, ce n’est absolument pas l’impression que j’ai en voyant le titre.

Article putaclic…c’est subjectif. Selon les personnes l’article sera putaclic ou ne le sera pas.

Les dernières fois où j’ai appelé ma banque et qu’ils me parlaient de ce que je pouvais faire avec leur appli sur mon smartphone…je leur ai répondu que je ne faisais rien de bancaire avec mon téléphone…
Pareil pour ma mutuelle. Ce sont des données trop sensibles pour que je me serve de mon smartphone. Pourtant j’ai un pare-feu, pas de compte Google, de réseaux sociaux, de jeux etc…;Mais quand même…je m’en méfie comme de la peste.