Violations de données, violations de systèmes et d’archives, opérations massives de phishing, même sophistiquées, comme le type “harpon” (dans lequel les pirates informatiques se font passer pour des contacts fiables pour tromper les victimes), logiciels malveillants simples mais nuisibles qui aspirent les données et les détails des cartes, des comptes, des comptes, les dirigeant peut-être vers des sites où nous avons nous-mêmes saisi des mots de passe en toute bonne foi. Où aboutissent toutes ces précieuses informations ? Pour l’essentiel dans le web noir, c’est-à-dire en vente dans les magasins de cette partie non indexée du réseau, accessible uniquement avec des navigateurs anonymes comme Tor, où parmi les escroqueries, le commerce vanté (et totalement illégal, rappelons-le) et la vente réelle de numéros de cartes de crédit, de comptes PayPal ou d’informations telles que (aux États-Unis) les numéros de sécurité sociale, chaque morceau (volé) de notre vie a un prix. Parfois incroyablement bas.
Quel est exactement ce prix ? C’est ce que tente d’estimer une enquête de Comparitech, une plateforme fondée en 2015 qui s’occupe de tester, de comparer et de conseiller les utilisateurs sur les appareils et surtout les services technologiques. Un réseau international d’environ 30 chercheurs, experts et développeurs qui enquêtent chaque mois sur les VPN, les antivirus, les systèmes de protection et autres sujets similaires. Cette fois-ci, ils ont mis plus de 40 marchés du web noir sous la loupe pour essayer de comprendre combien les criminels sortent réellement de l’escrime – car c’est de cela qu’il s’agit – de nos informations. Certains paramètres, tels que le pays d’émission, le plafond des cartes, le solde au moment du vol et d’autres informations, influencent grandement le prix final pour les criminels qui achètent – en payant en bitcoin ou autres cryptocurrences, tombant souvent à leur tour dans les escroqueries – ces fragments d’existence numérique.
Sommaire
Pourquoi un marché si florissant
Elle commence par les références complètes d’une personne (nom, adresse, courriel, téléphone, données fiscales et financières, signature, etc.), auxquelles est presque toujours associé le numéro de sécurité sociale ou, ailleurs, celui des cartes nationales d’identité. À quoi servent les identités ? Pour mille raisons illicites : obtenir un bouclier en cas d’autres activités frauduleuses, par exemple en enregistrant des activités ou des sociétés au nom des malheureuses victimes, ouvrir des lignes de crédit à leur nom, compléter des profils afin d’avoir accès à d’autres services et effectuer des retraits physiques auprès des banques. Ce ne sont là que quelques-unes des possibilités. Comme pour les cartes de crédit, la valeur d’une identité complète sur le marché noir de la toile noire – qui n’est pas la toile profonde mais un sous-ensemble de celle-ci et dont la taille a été réduite par une enquête de la société de sécurité Recorded Future – dépend principalement du pays d’origine. Les identités américaines sont les moins chères, estimées en moyenne à 8 dollars chacune, tandis que celles du Japon, de l’Europe et des Émirats arabes unis sont les plus chères (25 dollars). Au milieu, entre autres, se trouvent des Israéliens (14 $), des Chinois (15 $) ou des Mexicains (22 $). Il est évident que tous les paquets de titres ne sont pas identiques : plus ils sont riches, plus le prix demandé peut changer. Dans certains cas, il y a aussi le numéro du permis de conduire, les scanners de documents, le relevé bancaire. Ce sont des éléments qui embellissent le butin.
Cartes de crédit et comptes PayPal
Mais la majeure partie du gâteau parmi les informations volées et revendues concerne les cartes de crédit et les comptes PayPal. Dans ce cas, la fourchette est encore plus large : les prix des cartes varient de 11 centimes à près de mille euros, du moins selon l’enquête de Comparitech. Les comptes PayPal piratés, en revanche, vont de 5 à 1 767 dollars. Par conséquent, les ingrédients qui influencent les prix se multiplient : tout d’abord, cela dépend du mode, c’est-à-dire si vous achetez des cartes individuelles ou des blocs de numéros de cartes, bref, au détail ou en gros. Dans le second cas, il s’agit peut-être d’identifiants soustraits lors d’une seule opération (pensez à un “skimmer” à une pompe à essence ou à un distributeur automatique de billets) ou collectés lors d’une seule infraction. Il est évident que le prix à l’unité baisse lorsqu’on achète en gros. Dans ce cas également, c’est le pays d’émission qui pèse le plus, sachant toutefois que, selon Sixgill, deux cartes volées sur trois sont américaines et qu’aucun pays ne compte plus de 10 % des numéros volés, la Grande-Bretagne occupant la deuxième place des cibles privilégiées. Dans ce cas, sans surprise, les chiffres vont d’un dollar et demi pour une carte américaine (ou 2,5 pour une carte britannique) à 8 pour une carte européenne, en passant par 3 pour une carte turque, 3,5 pour une carte canadienne, 7 pour une carte néo-zélandaise, mexicaine, australienne, émiratie ou japonaise. Il est par contre difficile d’évaluer le poids du pays pour les comptes PayPal, où l’origine n’est pas indiquée.
Les pays sont importants
Mais pourquoi les pays sont-ils si importants ? “Les prix sont basés sur la disponibilité et la demande”, répond Paul Bischoff, un des chercheurs qui a signé l’analyse, originaire des États-Unis. Il y a plus de cartes de crédit américaines en circulation que de cartes d’autres pays, probablement en raison de la grande population américaine et du taux d’adoption élevé des cartes de crédit. Cette large disponibilité fait baisser les prix. En outre, de nombreuses cartes de crédit sont géolocalisées, ce qui signifie que vous devez utiliser une carte d’un certain pays pour effectuer un achat à un certain endroit”.
Ce qui affecte le prix
Comme pour les identités, la question des informations complémentaires se pose à nouveau pour les cartes de crédit : plus le forfait est riche, plus les prix sont élevés. D’autre part, à partir d’un seul numéro de carte de crédit, une personne mal intentionnée risque d’obtenir peu, surtout si elle a l’intention de l’utiliser en ligne. D’autres éléments sont nécessaires, du nom au “ccv”, le code de sécurité à trois chiffres au dos de la carte, à la date d’expiration, pour penser que la carte peut être utilisée – à condition que la malheureuse personne ne l’ait pas immédiatement bloquée – avec facilité. “En réalité,” dit le rapport, “le numéro de carte individuel a sa propre valeur. Les criminels peuvent utiliser un matériel spécial pour faire de simples duplications et les utiliser physiquement, dans des lecteurs de bande magnétique”.
Bien entendu, et cela est vrai dans tous les cas, la fraude sur ces magasins numériques n’est pas comptabilisée : “Bien que nous ne puissions pas dire avec certitude si les annonces d’un marché, ou le marché lui-même, sont authentiques ou frauduleuses”, ajoute M. Bischoff, “nous avons analysé très attentivement les commentaires laissés par les utilisateurs et vérifié que les informations étaient à jour.
D’autres éléments qui influencent, même s’ils sont moins importants que d’autres, le prix proposé dans les 40 magasins hors-la-loi analysés est le plafond, c’est-à-dire la limite maximale de dépense de la carte (qui est en moyenne 24 fois plus élevée que le prix demandé) alors que pour PayPal, c’est évidemment le solde (32 fois ce que paierait un cybercriminel). C’est pourquoi les comptes des plateformes de paiement sont plus chers que les cartes. Mais parmi les publicités, il y a de tout : le rapport indique les passeports, les permis de conduire, les cartes de fidélité des compagnies aériennes (on n’y pense pas mais les miles sont, à toutes fins pratiques, des crédits financiers). Et plus de comptes pour les plateformes de streaming, même des profils sur des applications de rencontre, des comptes sociaux (que les criminels achètent pour ensuite demander une rançon) et des cartes de débit.
Comment se défendre
“Il est souvent impossible de savoir si votre carte de crédit a été volée tant que des frais n’apparaissent pas sur votre relevé”, conclut l’expert en matière de protection de la vie privée et de VPn, “heureusement, de nombreuses sociétés de cartes remboursent généralement l’argent lié à des achats frauduleux, donc la première façon de vous défendre est de garder un œil sur la situation de votre compte. Et n’ignorez pas les petites charges – les criminels effectuent souvent de petites transactions pour vérifier si une carte est toujours valable”. Et ne rendez pas le propriétaire légitime suspicieux.
