Combien valent vos données personnelles sur le dark web?


Ces derniers mois, nous avons entendu parler de vol de données de clients dans certaines entreprises. Ces données sont vendues dans le darknet, le côté sombre d’Internet. Tout est a risque, vol d’identité, carte de crédit, même un dossier médical peut devenir notre pire cauchemar.
Nuage


Combien valent vos données personnelles sur le dark web?

Une main tenant un sac d'argent sort d'un écran d'ordinateur.

Les données volées ont une valeur marchande et peuvent servir aux acteurs malveillants, qui les vendent et les achètent dans les recoins du web.

PHOTO : RADIO-CANADA / ÉMILIE ROBERT

Desjardins, Capital One, Cambridge Analytica… Les scandales liés à la protection des données personnelles se multiplient ces dernières années et nos informations sont plus convoitées que jamais. Certains banalisent la situation. « Je n’ai rien à cacher », entend-on souvent. Pourtant, les risques sont sérieux, et vos données ont une valeur marchande dans les recoins du web.

Le chef de la cybersécurité aux Commissionnaires du Québec, Jean-Philippe Décarie-Mathieu, connaît bien cette facette du monde interlope. Voici ses réponses à nos questions sur le sujet.

Ce texte est le premier d’une série d’entrevues avec des experts en cybersécurité sur des enjeux qui vous préoccupent

Radio-Canada Techno : Où se vendent les données personnelles sur le web?

Jean-Philippe Décarie-Mathieu : Ça se fait sur des cryptomarchés accessibles sur les darknets, donc dans des parties cachées du web. On trouve sur ces marchés de l’information volée, des cartes de crédit fraudées, des outils de hacking, de la drogue, des armes et plus. Il existe plusieurs marchés de différentes tailles, un des plus connus étant BerlusconiMarket.

Dans le fond, ces sites sont comme un eBay du crime électronique. Les vendeurs ont des profils et une réputation, ils montrent des fiches de produits. Tu cherches ce que tu veux acheter, et tu as toi-même une réputation en tant qu’acheteur. On paie le vendeur d’une manière qui est difficilement traçable, généralement en utilisant une cryptomonnaie comme bitcoin ou Litecoin.

Quel genre de données personnelles peut-on acheter?

Il y a de tout. On peut par exemple acheter des fullz, un dossier qui représente en quelque sorte l’identité numérique ou l’entièreté des dossiers personnels de quelqu’un.

Il n’y a pas de définition exacte d’un fullz, mais généralement, on parle d’une date de naissance, d’un numéro d’assurance sociale, d’une adresse, d’un numéro de téléphone… Bref, tout ce qui permet de voler l’identité de quelqu’un.

La valeur des fullz a énormément baissé. Il y a deux ans, ça valait environ 800 $ US. L’an dernier, c’était en dessous de 600 $ et présentement, le prix tourne autour de 150 $.

Il y a tellement de fuites de données et d’informations personnelles accessibles sur le web que les prix chutent drastiquement. C’est l’offre et la demande, mais ça reste très peu cher pour une solution clés en main de vol d’identité.

On peut aussi acheter des accès à des comptes de courriel GMail, Yahoo et autres. Ça se vend pour environ 3 dollars américains et c’est aussi considéré comme des fullz, mais plus en matière d’identité numérique. Il y a beaucoup d’informations personnelles là-dedans : on y trouve toutes les communications des gens depuis souvent des années, et tous leurs mots de passe peuvent être réinitialisés à partir de leur compte.

Des prix de données personnelles en dollars américains

Fullz : 50-150 $ (très variable selon la cote de crédit)

Courriel et mot de passe Gmail : 3 $

Accès à un site web bancaire : 100 $

Numéro de carte de crédit avec code CVV : 60 $

Permis de conduire : 400-500 $ pour un permis d’un État américain (moins cher pour les autres pays)

Passeport canadien : 2000 à 5000 $, aussi peu que 15 $ pour un scan

Carte d’assurance maladie du Québec : 200 $

Nouvelle identité complète (incl. documents, etc.) : 46 000 $

* Les prix fluctuent selon les marchés, les vendeurs, la demande et d’autres facteurs. Ces chiffres ne sont que des estimations.

Concrètement, on peut faire quoi avec mes données?

Toutes sortes d’activités criminelles. Commander un téléphone cellulaire pour faire des transactions de drogue illicite, faire une demande pour une carte d’identité qui requiert plus ou moins de vérification… Il y a plein de raisons pour lesquelles les gens se créent une fausse identité.

C’est rare de voir des cas extravagants, comme se faire coller une hypothèque sans le savoir, parce que les compagnies de carte de crédit ont des bons systèmes pour la fraude, bloquent les cartes et remboursent rapidement les victimes.

Souvent, les gens vont ouvrir des nouveaux comptes de cartes de crédit pour acheter des choses, par exemple 200 cartes prépayées Amazon qui sont ensuite revendues ou utilisées. Une fois que le fraudeur se rend au magasin et achète les cartes, la compagnie de crédit remarque que c’est une fraude et désactive la carte de crédit.

Le fraudeur a maintenant 200 cartes-cadeaux Amazon, et pour qu’il se fasse prendre, il faudrait que la compagnie de crédit parle à Amazon pour savoir où il a acheté les cartes, trouver dans quel dépanneur il les a achetées, appeler le dépanneur pour regarder les caméras et voir à quoi ressemble le fraudeur…

Ça marche bien parce que ça se passe dans différents pays, et on ne va pas faire appel à Interpol pour chaque vol de 200 cartes-cadeaux Amazon.

Même juste mon courriel et mon mot de passe, c’est risqué?

Il y a un an, plein de gens ont reçu un courriel qui leur disait qu’on les avait vus se masturber devant leur webcam. Le message montrait leur mot de passe et disait que s’ils n’envoyaient pas X nombre de bitcoins, on enverrait à toute leur famille des enregistrements d’eux en train de se masturber. On appelle ça de la sextorsion.

Deux groupes criminels en Europe de l’Est ont fait des dizaines de millions de dollars avec ça, et toutes les informations qui ont servi à monter ce stratagème provenaient de fuites publiques. Ils ont réussi à créer un modèle de courriel qu’ils ont pu automatiser et ils l’ont envoyé à des millions de personnes en achetant simplement des listes d’adresses courriel avec des mots de passe. C’est simple et c’est super efficace.

Nos données sensibles peuvent-elles être utilisées d’autres façons?

Prenons par exemple une hypothétique fuite de données d’une banque. L’historique de transactions des gens, c’est de l’information qui parle. Si je suis un ex frustré et que je sais que mon ex est dans cette fuite-là, je peux me servir de ces données comme des munitions contre elle.

J’ai vu ça très souvent, des gens qui espionnent leurs ex, quand j’étais à Crypto.Québec. On recevait au moins un courriel par semaine d’une femme qui nous rapportait ça. C’est plus répandu qu’on pense, et je dirais même que c’est un très gros problème.

Si je veux cibler une personne, il y a plein d’information nominative que je peux utiliser contre elle, que ce soit 10 ans de courriels, de l’historique de navigation, ou autre chose comme son inscription à Ashley Madison, le site de rencontres extraconjugales qui a fait l’objet d’une fuite de données en 2016.

Aussi, je ne sais pas pourquoi on n’entend pas trop parler des dossiers médicaux. Dans l’industrie de la santé, les menaces internes, c’est-à-dire des employés qui sortent de l’info à grande pelletée, sont un problème important. Il y a eu plusieurs fuites comme ça aux États-Unis, et ça peut aussi servir à l’extorsion.

L’information médicale, c’est de l’information très sensible. Ça en dit beaucoup sur nous, sur notre famille et sur nos habitudes de vie. C’est de l’information qui peut être utilisée contre nous et sur laquelle on n’a aucun contrôle.

Le grand drame du 21e siècle est que toutes ces données-là, toutes mises ensemble, peignent un portrait très détaillé de quelqu’un. 

Est-ce que des données de base comme le nom, la date de naissance, l’adresse physique et l’adresse courriel d’une personne valent quelque chose?

Monétairement, ça ne vaut rien parce que ça se trouve dans plein de fuites de données des dernières années qui sont accessibles gratuitement. Il y en a tellement eu que des informations qui sont sensibles, mais non confidentielles sont extrêmement faciles à obtenir.

Ce n’est pas ça qui est vendu sur les cyptomarchés, à moins que ce soit, disons, 150 millions d’enregistrements provenant de plusieurs fuites, toutes mises ensemble dans un package deal. On peut facilement créer sa propre base de données comme celle-là, par contre.

Les données personnelles des Canadiens valent-elles plus que celles d’autres pays?

Elles valent moins que celles des Américains, mais tout ce qui est occidental vaut plus que ce qui est oriental. C’est dommage, mais si tu fais affaire avec quelqu’un en Inde, les gens penseront que c’est une arnaque pour plein de raisons et à cause de plein de préjugés.

Et si on parle de documents, c’est une autre histoire. Un passeport américain vaut plus qu’un passeport nicaraguayen. C’est un peu un reflet du statut de la strate géopolitique du vrai monde qui se transpose là-dedans. Si c’est juste des accès, on s’en fout plus.

Est-ce qu’on prend la vente de données personnelles assez au sérieux?

Je dirais que la valeur des données personnelles et l’importance de leur sécurisation ne sont pas prises au sérieux par tout le monde alors que ça devrait l’être.

Ça dort au gaz au gouvernement. Personne ne comprend les enjeux, et même dans la société civile, personne ne prend ça au sérieux quand les données de dizaines de milliers de personnes ont fuité.

C’est toujours l’histoire du je n’ai rien à cacher. Ça ne change rien si on a une vie de comptable ou non; le problème, c’est qu’on n’a aucun contrôle sur nos données.

Les citations ont été éditées à des fins de clarté et de précision.

https://ici.radio-canada.ca//

Qui surveille l’accès aux dossiers médicaux électroniques ?


L’informatisation des dossiers médicaux est sûrement une avancée qui permet d’avoir tout les renseignements  plus facilement accessible  lors de la visite d’un médecin, spécialiste … Mais que ces informations confidentielles soient utilisées pour d’autres raisons comme la publicité, des informations pour un besoin personnel ou par curiosité du personnel médical sur un patient alors qu’il n’a pas de besoin sont des dérives qui doivent être corrigées
Nuage

 

Qui surveille l’accès aux dossiers médicaux électroniques ?

 

Aucun mécanisme, humain ou informatique, ne permet de... (Photo Scott Eells, archives Bloomberg)

Aucun mécanisme, humain ou informatique, ne permet de signaler systématiquement les consultations inopportunes d’informations médicales confidentielles.

PHOTO SCOTT EELLS, ARCHIVES BLOOMBERG

 

SIMON-OLIVIER LORANGE
La Presse

Bien qu’il soit possible d’identifier qui accède à son dossier médical électronique, encore faut-il se donner la peine de le faire.

PHOTO DAVID BOILY, ARCHIVES LA PRESSE

Une enquête de La Presse révélait vendredi que des entreprises exploitent à des fins commerciales le contenu de dossiers de millions de Québécois dont l’identité a été « anonymisée ». Or, des accès abusifs aux dossiers ont lieu quotidiennement à une tout autre échelle par l’entremise de travailleurs de la santé, et ce, sans qu’aucun mécanisme de surveillance ne les en empêche.

Par exemple, La Presse a publié fin janvier l’histoire d’une inhalothérapeute radiée de son ordre professionnel après voir consulté les dossiers de patients en fin de vie afin de tenter d’acheter leur maison à bas prix. Selon l’Association des gestionnaires de l’information de la santé du Québec (AGISQ), qui regroupe quelque 600 archivistes médicaux de la province, c’est un heureux hasard si un tel stratagème a pu être mis au jour, car aucun mécanisme, humain ou informatique, ne permet de signaler systématiquement les consultations inopportunes d’informations médicales confidentielles.

« Il n’y a pas de règle qui oblige un établissement à faire de la journalisation des accès dans ces systèmes-là. Les systèmes informatiques permettent de laisser des traces comme un petit Poucet, mais s’il n’y a pas de vigie, ça ne sert à rien », estime Alexandre Allard, président de l’AGISQ.

« Un dossier de santé électronique, c’est quelque chose d’hyper sensible, alors nécessairement, on devrait faire plus de validation. »

Le ministère de la Santé et des Services sociaux du Québec n’a pas donné suite aux demandes d’entrevue de La Presse à ce sujet.

Cas de figure

Les cas de figure d’abus sont nombreux. Si certains sont moins choquants à première vue – pensons à un professionnel de la santé qui consulte le dossier d’un membre de sa famille -, d’autres utilisations frauduleuses de données donnent des frissons dans le dos.

Avocat spécialisé dans la défense des patients, Jean-Pierre Ménard donne en exemple le cas de femmes qui ont reçu des publicités d’entreprises funéraires peu de temps après avoir reçu un diagnostic de cancer du sein.

« Des cas comme ça touchent directement la relation entre les patients et les professionnels, et on ne peut pas tolérer ça », dit Me Ménard.

« Les règles déontologiques sont strictes, mais avec les dossiers informatisés, beaucoup de monde a accès à beaucoup de choses, et c’est difficile à contrôler. Le problème, c’est que l’application des règles est inégale et dépend de la culture des différents milieux. Certains établissements sont très prudents, d’autres, non. »

Selon Alexandre Allard, il ne devrait y avoir aucune zone grise.

« Si vous êtes une infirmière en pédiatrie et que vous êtes en train de consulter le dossier de votre père aux soins palliatifs, vous n’avez pas d’affaire là », illustre-t-il.

L’AGISQ interpelle depuis plusieurs années le gouvernement du Québec à ce sujet. L’Association s’est d’ailleurs présentée devant la commission parlementaire sur l’accès à l’information, en août dernier.

« Mais on n’en a jamais entendu parler depuis », déplore M. Allard.

La Commission d’accès à l’information a toutefois déclenché une enquête à la suite de la publication de notre dossier sur la commercialisation des renseignements des dossiers médicaux électroniques, vendredi dernier.

Radiation temporaire pour une médecin

L’été dernier, le Collège des médecins a radié pour une période de trois mois la Dre Elena Claudia Minca après avoir découvert que celle-ci avait consulté le dossier médical d’une amie dont elle avait perdu la trace.

La Direction des enquêtes du Collège des médecins a par la suite publié une note à l’attention de ses membres leur rappelant que « ces puissants outils [informatiques] doivent être exclusivement utilisés dans le cadre de leurs fonctions, c’est-à-dire la dispensation des soins »

http://www.lapresse.ca/