Discussion :

[Stéphane le calme]

Combien pourrait coûter une nouvelle identité numérique ?
Un ingénieur parcourt le Dark Web pour répondre à cette question !

Vous êtes-vous déjà demandé quelle serait la valeur de votre vie ? Si nous parlons du monde numérique, alors la réponse serait peut-être « pas beaucoup ». Les cybercriminels peuvent vendre votre vie numérique complète, y compris vos comptes de médias sociaux, vos coordonnées bancaires, vos données d'applications, vos comptes de jeux et même un accès distant à des serveurs ou à des ordinateurs de bureau, pour seulement 50 USD.

L’idée de parcourir le dark Web afin de déterminer combien d'argent les cybercriminels peuvent gagner en vendant en ligne les données personnelles des consommateurs a titillé David Jacoby de Kaspersky :

« Avez-vous déjà réfléchi à ce que valait votre vie ? Je veux dire, y avez-vous vraiment pensé ? Par exemple, supposons que vous vouliez vendre tout ce que vous avez - votre maison, votre voiture, votre travail, votre vie privée, des photos et des films à la maison de votre enfance, vos comptes sur divers médias sociaux, vos antécédents médicaux, etc. - combien voudriez-vous pour vous en séparer ?

« J'y ai pensé moi-même et l'idée que quelqu'un d'autre puisse, par exemple, lire les choses personnelles que j'ai écrites à des amis, à la famille et aux amoureux de Facebook m'a fait comprendre que ces choses-là sont inestimables. Il en va de même pour quelqu'un qui accède à mon courrier électronique et qui a le pouvoir de réinitialiser tous mes mots de passe pour tous les comptes que j'ai enregistrés en utilisant ce courrier électronique.

« Dans le monde réel non numérique, il existe de nombreuses polices d’assurance qui couvrent les biens endommagés ou volés. Si quelqu'un vole ma voiture ou si je casse la télé, je peux la remplacer si elle était assurée. Nous n’avons pas vraiment cette option dans le monde numérique, et notre vie numérique contient des informations très personnelles et sentimentales. La grande différence est que nos vies numériques ne peuvent jamais être effacées - ce que nous avons dit ou écrit, les images que nous avons envoyées ou les commandes que nous avons passées sont fondamentalement stockés à tout jamais entre les mains des fournisseurs de services.

« J'ai décidé d'enquêter sur le marché noir et de voir quel type d'informations y sont vendues. Nous savons tous que vous pouvez y acheter de la drogue, des armes et des biens volés, mais vous pouvez également acheter des identités en ligne. Quelle est selon vous la valeur de votre identité en ligne ? »

Comptes piratés

Lorsque David s’est intéressé aux comptes piratés appartenant à des services populaires, il a remarqué qu’il est presque impossible de compiler des données valides, car de nombreux vendeurs sur le marché noir vendent ces informations. Il est également difficile de vérifier le caractère unique des données vendues. Mais une chose est sûre: il s’agit du type de données le plus populaire vendu sur le marché noir. Quand David parle de données provenant de services populaires, il sous-entend par exemple des comptes de réseaux sociaux volés, des coordonnées bancaires, un accès distant à des serveurs ou des ordinateurs de bureau et même des données provenant de services populaires comme Uber, Netflix, Spotify et de nombreux sites Web de jeux (Steam, PlayStation Network, etc.), des applications de rencontres, des sites Web pornographiques.

Le moyen le plus courant de voler ces données consiste à utiliser des campagnes de phishing ou à exploiter une vulnérabilité liée au Web, telle qu'une vulnérabilité d'injection SQL. Les dumps de mots de passe contiennent une combinaison de courrier électronique et de mot de passe pour les services piratés, mais comme nous le savons, la plupart des gens réutilisent leurs mots de passe. Ainsi, même si un simple site Web a été piraté, les attaquants peuvent accéder aux comptes d'autres plateformes en utilisant la même combinaison d'adresse électronique et de mot de passe.

Ces attaques ne sont pas très sophistiquées, mais elles sont très efficaces. Cela montre également que les cybercriminels gagnent de l'argent grâce aux hackers et aux hacktivistes; les personnes qui vendent ces comptes ne sont probablement pas les personnes qui ont piraté et distribué le dump de mot de passe.

Le prix de ces comptes piratés est très bon marché. La plupart se vendent environ 1 dollar par compte. Si vous achetez en gros, vous les obtiendrez encore moins cher.

Certains fournisseurs offrent même une garantie à vie. Ainsi, si un compte cesse de fonctionner, vous recevez un nouveau compte gratuitement.

Passeports et papiers d'identité

En parcourant le dark web, David a vu beaucoup d'autres informations échangées, telles que de faux passeports, des permis de conduire et des cartes d'identité. C'est ici que les choses deviennent un peu plus sérieuses - la plupart des papiers d'identité ne sont pas volés, mais ils peuvent être utilisés pour causer des problèmes dans le monde non numérique.

Les gens peuvent utiliser votre identité avec une fausse carte d'identité pour acquérir, par exemple, des abonnements téléphoniques, des comptes bancaires ouverts, etc.

Vous trouverez ci-dessous une capture d'écran d'une personne vendant un passeport suédois enregistré au prix de 4 000 USD. Le même fournisseur offrait des passeports de presque tous les pays européens.

Conclusion

Les gens sont généralement très naïfs en ce qui concerne leur identité en ligne, en particulier en ce qui concerne les services qui ne semblent en aucune manière affecter leur vie privée. J'entends souvent des gens dire qu’ils se moquent de savoir si une personne a accès à leur compte, par exemple, parce qu’ils pensent que le pire qui puisse arriver est que leur compte soit partagé avec une personne qu’ils ne connaissent pas.

L’une des choses les plus alarmantes selon les recherches de David est le coût peu élevé de tout. Pensez simplement aux informations que quelqu'un pourrait collecter à votre sujet s'il avait accès à votre compte Facebook.

Sans compter que les internautes ne se limitent pas à Facebook. David suppose que la plupart des personnes âgées de 15 à 35 ans se sont inscrites à plus de 20 services différents et en utilisent peut-être environ 10 fréquemment. Les services que vous utilisez rarement constituent un problème, car vous oubliez souvent que vous y avez même un compte.

Les comptes les plus fréquemment utilisés incluent probablement Facebook, Instagram, Skype, Snapchat, Tinder (ou d’autres services de rencontres), ainsi que des services de divertissement tels que Spotify, Netflix, HBO et YouTube. En outre, vous pouvez avoir un compte sur un site Web gouvernemental ou financier, tel que votre banque, une compagnie d'assurance, etc. Nous devons également nous rappeler que certains de ces services utilisent Google ou Facebook comme authentification, ce qui signifie que vous n'utilisez pas de courrier électronique et combinaison de mots de passe - vous vous connectez simplement avec votre compte Facebook ou Google.

Et David de conclure en disant :

« En regardant les données, il est assez hallucinant que vous puissiez fondamentalement vendre la vie numérique complète de quelqu'un pour moins de 50 dollars. Nous ne parlons pas de l’accès aux comptes bancaires, mais de l’accès à des services pouvant inclure une carte de crédit, tel que Spotify, Netflix, Facebook, etc.

« En plus de prendre le contrôle total de la vie numérique de quelqu'un, l'accès à ces services est également utilisé par d'autres criminels, par exemple pour propager des programmes malveillants ou mener des attaques de phishing.

« Le niveau de disponibilité de ces comptes piratés ou volés est très impressionnant; en principe, toute personne disposant d’un ordinateur peut y accéder - vous n’êtes pas obligé d’être un cybercriminel expérimenté pour savoir où les trouver ».

Source : Kaspersky

Et vous ?

Qu'en pensez-vous ? Ces prix vous surprennent-ils ? Pourquoi ?

Voir aussi :

Un agent de la DGSI mis en examen pour avoir vendu des informations sur le darknet, jusqu'à dévoiler votre vie complète (RIB, géolocalisation, etc.)
Des informations permettant de pirater les équipements d'un aéroport seraient en vente pour 10 dollars US sur le dark web
Un programmeur dérobe le code source du logiciel d'espionnage de son ex-employeur pour le revendre sur le darknet et se fait prendre
Un dealeur Franco-Israélien opérant sur le Dark Web tombe dans les filets de la justice US, après analyse de ses transactions effectuées en bitcoins
Black Hand, l'un des plus importants forum du Dark Web en France, a été démantelé suite à une mobilisation de plus de 40 agents de la DDNRED

[emixam16]

Boh, après il faut voir que la plupart des choses en vente sur le "darknet" sont en réalités des fakes.

Typiquement pour la vente de carte d'identité, quelle est la probabilité qu'une fois la transaction réalisée le vendeur livre effectivement la carte et ne se contente pas de juste prendre l'argent? Elle est évidemment très faible...

Cela dit, ces prix sont effectivement peu chers mais pas étonnants.

[CorentinLeGuen]

Comme le dit @emixam16, je pense qu'une fois le versement réalisé, on a plus de nouvelles du vendeur et aucun moyen de reprendre l'argent...
Il doit néanmoins y avoir des sites qui répertories les vendeurs qui sont "à peu près" réglos au niveau des échanges. ("à peu près" réglos parce qu'au final les transactions sont illégales).

[Bardotj]

Tout simplement parce que sur les plate-forme sérieuse l’accés est payant.
Ensuite on ne paye pas le vendeur, on donne l’argent a un intermédiaire (en général la plateforme d’échange/vente) qui paiera le vendeur une fois la prestation effectuée.

[gerard093]

Ce qu'on appelle le dark net n'est pas le monde de l'illégalité.

Les sites du dark net sont simplement les sites qui ne sont pas référencés par les moteurs de recherche, en général parce que il y a une déclaration 'no follow" dans leur contenu à l'attention des robots. Ou parce qu'aucun lien sur le web ne permet de pointer dessus (ils sont cachés sous le site d'accueil officiel présenté par un index.html par exemple)

On dit dark net parce que les navigateurs ne les trouvent pas.

Les adresses de trafic illégal sont des adresses web qu'on ne trouve pas dans des moteurs de recherche. Ces adresses ne sont référencées nulle part. Un site qui ne figure dans les résultats de recherche appartient au dark net. Mais le fait qu'un site soit vraiment illégal dépend de son contenu, bien sûr. Un site peut être très légal et figurer sur le darknet !!! Sa consultation n'est pas destinée à tous publics ...

Généralement, les bonnes occasions à caractère illégal qui figurent sur un site non référencé sont de pures escroqueries. La position de l'escroc est d'autant plus confortable que ses victimes ne peuvent porter plainte, vu que leur tentative de transaction est compromettante pour eux.

Donc ... pour avoir un contact illégal en ligne, il n'y a pas de référencement. Donc vous devez agir sur recommandation ... vous devez avoir des relations dans la mafia ... dans le cas qui peut servir d'exemple (Un agent de la DGSI mis en examen pour avoir vendu des informations sur le darknet, jusqu'à dévoiler votre vie complète (RIB, géolocalisation, etc.) en bas ! ... Haurus n'a pu se faire référencer pour développer ses activités. Il s'est fait connaître par des relations ... qui lui étaient fournies par les fichiers de police eux-même. Et ensuite il a développé ses activités par recommandation dans le milieu concerné. Une histoire simple ...

bref pour négocier un achat sur le web, sans moteur de recherche, il vous faut TOUJOURS la recommandation de quelqu'un qui est "introduit" ... et qui connait !!! Que ce soit légal ou non. Ceci vaut pour les données personnelles piratées comme pour le reste.

Et si vous voulez effectuer un achat en ligne, vérifiez si l'achat est honnête que le site vendeur existe depuis longtemps et est fortement référencé. Les sites d'e-commerce légaux veulent une forte visibilité et une forte publicité. On les trouve !!!