Combien valent vos données personnelles sur le dark web?


Ces derniers mois, nous avons entendu parler de vol de données de clients dans certaines entreprises. Ces données sont vendues dans le darknet, le côté sombre d’Internet. Tout est a risque, vol d’identité, carte de crédit, même un dossier médical peut devenir notre pire cauchemar.
Nuage


Combien valent vos données personnelles sur le dark web?

Une main tenant un sac d'argent sort d'un écran d'ordinateur.

Les données volées ont une valeur marchande et peuvent servir aux acteurs malveillants, qui les vendent et les achètent dans les recoins du web.

PHOTO : RADIO-CANADA / ÉMILIE ROBERT

Desjardins, Capital One, Cambridge Analytica… Les scandales liés à la protection des données personnelles se multiplient ces dernières années et nos informations sont plus convoitées que jamais. Certains banalisent la situation. « Je n’ai rien à cacher », entend-on souvent. Pourtant, les risques sont sérieux, et vos données ont une valeur marchande dans les recoins du web.

Le chef de la cybersécurité aux Commissionnaires du Québec, Jean-Philippe Décarie-Mathieu, connaît bien cette facette du monde interlope. Voici ses réponses à nos questions sur le sujet.

Ce texte est le premier d’une série d’entrevues avec des experts en cybersécurité sur des enjeux qui vous préoccupent

Radio-Canada Techno : Où se vendent les données personnelles sur le web?

Jean-Philippe Décarie-Mathieu : Ça se fait sur des cryptomarchés accessibles sur les darknets, donc dans des parties cachées du web. On trouve sur ces marchés de l’information volée, des cartes de crédit fraudées, des outils de hacking, de la drogue, des armes et plus. Il existe plusieurs marchés de différentes tailles, un des plus connus étant BerlusconiMarket.

Dans le fond, ces sites sont comme un eBay du crime électronique. Les vendeurs ont des profils et une réputation, ils montrent des fiches de produits. Tu cherches ce que tu veux acheter, et tu as toi-même une réputation en tant qu’acheteur. On paie le vendeur d’une manière qui est difficilement traçable, généralement en utilisant une cryptomonnaie comme bitcoin ou Litecoin.

Quel genre de données personnelles peut-on acheter?

Il y a de tout. On peut par exemple acheter des fullz, un dossier qui représente en quelque sorte l’identité numérique ou l’entièreté des dossiers personnels de quelqu’un.

Il n’y a pas de définition exacte d’un fullz, mais généralement, on parle d’une date de naissance, d’un numéro d’assurance sociale, d’une adresse, d’un numéro de téléphone… Bref, tout ce qui permet de voler l’identité de quelqu’un.

La valeur des fullz a énormément baissé. Il y a deux ans, ça valait environ 800 $ US. L’an dernier, c’était en dessous de 600 $ et présentement, le prix tourne autour de 150 $.

Il y a tellement de fuites de données et d’informations personnelles accessibles sur le web que les prix chutent drastiquement. C’est l’offre et la demande, mais ça reste très peu cher pour une solution clés en main de vol d’identité.

On peut aussi acheter des accès à des comptes de courriel GMail, Yahoo et autres. Ça se vend pour environ 3 dollars américains et c’est aussi considéré comme des fullz, mais plus en matière d’identité numérique. Il y a beaucoup d’informations personnelles là-dedans : on y trouve toutes les communications des gens depuis souvent des années, et tous leurs mots de passe peuvent être réinitialisés à partir de leur compte.

Des prix de données personnelles en dollars américains

Fullz : 50-150 $ (très variable selon la cote de crédit)

Courriel et mot de passe Gmail : 3 $

Accès à un site web bancaire : 100 $

Numéro de carte de crédit avec code CVV : 60 $

Permis de conduire : 400-500 $ pour un permis d’un État américain (moins cher pour les autres pays)

Passeport canadien : 2000 à 5000 $, aussi peu que 15 $ pour un scan

Carte d’assurance maladie du Québec : 200 $

Nouvelle identité complète (incl. documents, etc.) : 46 000 $

* Les prix fluctuent selon les marchés, les vendeurs, la demande et d’autres facteurs. Ces chiffres ne sont que des estimations.

Concrètement, on peut faire quoi avec mes données?

Toutes sortes d’activités criminelles. Commander un téléphone cellulaire pour faire des transactions de drogue illicite, faire une demande pour une carte d’identité qui requiert plus ou moins de vérification… Il y a plein de raisons pour lesquelles les gens se créent une fausse identité.

C’est rare de voir des cas extravagants, comme se faire coller une hypothèque sans le savoir, parce que les compagnies de carte de crédit ont des bons systèmes pour la fraude, bloquent les cartes et remboursent rapidement les victimes.

Souvent, les gens vont ouvrir des nouveaux comptes de cartes de crédit pour acheter des choses, par exemple 200 cartes prépayées Amazon qui sont ensuite revendues ou utilisées. Une fois que le fraudeur se rend au magasin et achète les cartes, la compagnie de crédit remarque que c’est une fraude et désactive la carte de crédit.

Le fraudeur a maintenant 200 cartes-cadeaux Amazon, et pour qu’il se fasse prendre, il faudrait que la compagnie de crédit parle à Amazon pour savoir où il a acheté les cartes, trouver dans quel dépanneur il les a achetées, appeler le dépanneur pour regarder les caméras et voir à quoi ressemble le fraudeur…

Ça marche bien parce que ça se passe dans différents pays, et on ne va pas faire appel à Interpol pour chaque vol de 200 cartes-cadeaux Amazon.

Même juste mon courriel et mon mot de passe, c’est risqué?

Il y a un an, plein de gens ont reçu un courriel qui leur disait qu’on les avait vus se masturber devant leur webcam. Le message montrait leur mot de passe et disait que s’ils n’envoyaient pas X nombre de bitcoins, on enverrait à toute leur famille des enregistrements d’eux en train de se masturber. On appelle ça de la sextorsion.

Deux groupes criminels en Europe de l’Est ont fait des dizaines de millions de dollars avec ça, et toutes les informations qui ont servi à monter ce stratagème provenaient de fuites publiques. Ils ont réussi à créer un modèle de courriel qu’ils ont pu automatiser et ils l’ont envoyé à des millions de personnes en achetant simplement des listes d’adresses courriel avec des mots de passe. C’est simple et c’est super efficace.

Nos données sensibles peuvent-elles être utilisées d’autres façons?

Prenons par exemple une hypothétique fuite de données d’une banque. L’historique de transactions des gens, c’est de l’information qui parle. Si je suis un ex frustré et que je sais que mon ex est dans cette fuite-là, je peux me servir de ces données comme des munitions contre elle.

J’ai vu ça très souvent, des gens qui espionnent leurs ex, quand j’étais à Crypto.Québec. On recevait au moins un courriel par semaine d’une femme qui nous rapportait ça. C’est plus répandu qu’on pense, et je dirais même que c’est un très gros problème.

Si je veux cibler une personne, il y a plein d’information nominative que je peux utiliser contre elle, que ce soit 10 ans de courriels, de l’historique de navigation, ou autre chose comme son inscription à Ashley Madison, le site de rencontres extraconjugales qui a fait l’objet d’une fuite de données en 2016.

Aussi, je ne sais pas pourquoi on n’entend pas trop parler des dossiers médicaux. Dans l’industrie de la santé, les menaces internes, c’est-à-dire des employés qui sortent de l’info à grande pelletée, sont un problème important. Il y a eu plusieurs fuites comme ça aux États-Unis, et ça peut aussi servir à l’extorsion.

L’information médicale, c’est de l’information très sensible. Ça en dit beaucoup sur nous, sur notre famille et sur nos habitudes de vie. C’est de l’information qui peut être utilisée contre nous et sur laquelle on n’a aucun contrôle.

Le grand drame du 21e siècle est que toutes ces données-là, toutes mises ensemble, peignent un portrait très détaillé de quelqu’un. 

Est-ce que des données de base comme le nom, la date de naissance, l’adresse physique et l’adresse courriel d’une personne valent quelque chose?

Monétairement, ça ne vaut rien parce que ça se trouve dans plein de fuites de données des dernières années qui sont accessibles gratuitement. Il y en a tellement eu que des informations qui sont sensibles, mais non confidentielles sont extrêmement faciles à obtenir.

Ce n’est pas ça qui est vendu sur les cyptomarchés, à moins que ce soit, disons, 150 millions d’enregistrements provenant de plusieurs fuites, toutes mises ensemble dans un package deal. On peut facilement créer sa propre base de données comme celle-là, par contre.

Les données personnelles des Canadiens valent-elles plus que celles d’autres pays?

Elles valent moins que celles des Américains, mais tout ce qui est occidental vaut plus que ce qui est oriental. C’est dommage, mais si tu fais affaire avec quelqu’un en Inde, les gens penseront que c’est une arnaque pour plein de raisons et à cause de plein de préjugés.

Et si on parle de documents, c’est une autre histoire. Un passeport américain vaut plus qu’un passeport nicaraguayen. C’est un peu un reflet du statut de la strate géopolitique du vrai monde qui se transpose là-dedans. Si c’est juste des accès, on s’en fout plus.

Est-ce qu’on prend la vente de données personnelles assez au sérieux?

Je dirais que la valeur des données personnelles et l’importance de leur sécurisation ne sont pas prises au sérieux par tout le monde alors que ça devrait l’être.

Ça dort au gaz au gouvernement. Personne ne comprend les enjeux, et même dans la société civile, personne ne prend ça au sérieux quand les données de dizaines de milliers de personnes ont fuité.

C’est toujours l’histoire du je n’ai rien à cacher. Ça ne change rien si on a une vie de comptable ou non; le problème, c’est qu’on n’a aucun contrôle sur nos données.

Les citations ont été éditées à des fins de clarté et de précision.

https://ici.radio-canada.ca//

Les objets connectés vous mettent-ils en danger ?


On parle beaucoup depuis la cyberattaque mondiale du piratage dans le but de demander une rançon. Ce qui est inquiétant, c’est la multitude de possibilités de pirater des objets connectés autres que les ordinateurs, portables, tablettes. Il y a le réfrigérateur, la télévision, les jouets, des automobiles et encore bien d’autres objets qui sont connectés. Sont-ils tous des cibles potentiels … Oui, mais généralement les pirates veulent faire de l’argent et donc, certains objets sont plus susceptibles que d’autres à être piraté.
Nuage

Les objets connectés vous mettent-ils en danger ?

 

Les cyberattaques pourraient viser des outils du quotidien, qui serviraient de relais pour les cybercriminels. Les spécialistes expliquent les risques.

 

SOURCE AFP

 

Les téléviseurs, jouets, réfrigérateurs et autres cafetières connectés seront-ils un jour la cible de cyberattaques ? Les récentes offensives massives de « ransomwares », ces logiciels malveillants exigeant une rançon pour débloquer les ordinateurs qu’ils ont infectés, font craindre pour l’avenir des objets connectés qui se multiplient dans nos foyers.

« Concernant l’attaque du week-end passé, il n’y a pas de risque pour les objets connectés. Elle touchait en particulier des systèmes avec Windows […], et il n’y a pas d’objets connectés grand public aujourd’hui qui embarquent Windows pour fonctionner », assure à l’Agence France-Presse Gérôme Billois, consultant chez Wavestone.

« En revanche, il y a déjà eu des attaques massives sur des objets connectés », rappelle-t-il.

Le malware (logiciel malveillant) Mirai a ainsi récemment infecté par centaines de milliers des objets connectés mal sécurisés, non pas pour les bloquer, mais pour les transformer en zombies et créer des relais pour de futures cyberattaques. Mardi à La Haye, le jeune prodige Reuben Paul, 11 ans, a épaté une galerie d’experts en cybersécurité en piratant le Bluetooth de leurs appareils électroniques pour prendre le contrôle d’un ours en peluche.

Siphons ou mouchards

Les objets connectés sont donc des cibles tout à fait crédibles, qui peuvent aussi bien siphonner des données que se transformer en mouchards. Selon des documents révélés en mars par WikiLeaks, les services de renseignement américains sont capables de « hacker » des smartphones, des ordinateurs et des télévisions intelligentes, notamment pour prendre le contrôle de leurs micros et écouter ce qu’il se passe.

« Tous les autres objets connectés sont piratables, ça a été démontré, que ce soit la cafetière, le réfrigérateur, le thermostat, la serrure électronique, le système d’éclairage… » dit à l’Agence France-Presse Loïc Guézo stratégiste cybersécurité Europe du Sud de la société de cybersécurité japonaise Trend Micro.

Plus généralement, comme le résume en toute modestie Mikko Hypponen, le responsable de la recherche du spécialiste finlandais F-Secure, dans sa « loi d’Hypponen » : « Lorsqu’un appareil est décrit comme étant intelligent, vous pouvez le considérer comme vulnérable. »

Cybercriminalité

Ce qui concerne aussi tous ces objets en voie de « connectisation » : des voitures – des démonstrations de prise de contrôle à distance de véhicules ont pu faire froid dans le dos –, des sextoys, des poupées, des vases qui préviennent quand il faut changer l’eau, des sangles de cheval ou des pompes à insuline. Un cyberpirate peut-il donc me priver de café le matin, bloquer mon thermostat à 10°C, ou diriger mon GPS vers un abîme si je ne lui paie pas une rançon ? Théoriquement oui, répondent les spécialistes interrogés par l’Agence France-Presse.

« La logique d’un cybercriminel, c’est de gagner de l’argent », dit cependant Gérôme Billois chez Wavestone.

Il ne s’acharnera donc pas, selon lui, à s’attaquer à des petites séries. Les télévisions connectées, en revanche, semblent être des cibles toutes trouvées, car elles se généralisent plus vite, d’autant qu’elles ont un écran, support idéal pour demander la rançon.

« Demain, on peut imaginer des dispositifs où on attaque votre maison connectée, on la met sous contrôle, et on vous envoie le message par une autre voie », avance Loïc Guézo.

Il suffira de perfectionner un peu les virus que l’on trouve clé en main sur le « darknet », cette cour des miracles des tréfonds de l’Internet.

Questions de sécurité

La question ne laisse évidemment pas indifférents les spécialistes de la cybersécurité, qui multiplient les solutions de protection de la domotique connectée, avec notamment des « box » venant compléter les routeurs des opérateurs télécom. En amont, l’idée est aussi de travailler avec les fabricants pour leur apporter des fonctions de sécurité qu’ils intégreront dès la conception des objets connectés, ce qu’on appelle dans la profession « security by design ». Car la sécurité a été souvent négligée dans l’euphorie de la connexion tous azimuts des objets du quotidien.

« C’est extrêmement difficile d’évaluer la solidité d’un objet connecté sous l’angle de la cybersécurité », dit Gérôme Billois.

« En tant que consommateur, il est aujourd’hui impossible de savoir si l’on achète un objet connecté sécurisé ou pas. Il nous manque un label, comme on a le label CE qui nous garantit que l’objet ne va pas prendre feu, qu’il ne va pas être dangereux pour les enfants, etc. »

http://www.lepoint.fr/