Entre les fuites massives de données et la multiplication des usurpations d’identité, les VPN et suites de sécurité avancent une nouvelle promesse rassurante : surveiller le dark web pour vous prévenir au moindre dérapage. Une fonction pratique, souvent mise en avant dans le marketing, qui mérite pourtant une petite mise au point.
En France, plus de 200 000 personnes subissent chaque année une usurpation d’identité numérique, qu’on parle de comptes piratés, de crédits ouverts en leur nom ou de démarches administratives menées avec de faux papiers. Le phénomène est désormais bien documenté par les autorités comme par les associations de victimes, et il progresse au même rythme que les fuites massives de données issues de services en ligne. Forcément, il n’en fallait pas plus pour que les fournisseurs de VPN, mais aussi les éditeurs d’antivirus et de gestionnaires de mots de passe, affirment apporter une partie de la solution avec des modules de surveillance du dark web, que l’on voit de plus en plus fleurir dans les offres actuellement commercialisées.
Et il faut le dire, sur le principe, l’idée est difficilement critiquable. Un outil qui tourne en arrière-plan, surveille vos adresses mail, parfois vos numéros de téléphone, vos cartes bancaires ou vos papiers d’identité, et vous prévient si ces informations sensibles apparaissent dans une base de données compromise, c’est plutôt pratique. Mais dans les faits, ces services ne couvrent qu’une partie du sujet lié à l’usurpation d’identité. Ils peuvent rendre de fiers services, mais ne remplacent pas de bonnes habitudes de sécurité.
Surveiller le dark web, une bien belle ambition…
Car en réalité, le fonctionnement des modules de surveillance du dark web tels qu’intégrés aux offres des suites de sécurité est beaucoup plus terre à terre que ce que les slogans veulent bien laisser entendre. L’utilisateur ou l’utilisatrice indique les éléments à surveiller, le plus souvent des adresses mail, parfois des numéros de téléphone, de carte bancaire, voire de carte d’identité ou de passeport. De son côté, le service compare régulièrement ces identifiants à un stock de bases issues de fuites de données. Lorsqu’il trouve une correspondance, il déclenche une alerte et déroule le triptyque classique, changement de mot de passe, activation de l’authentification multifacteur, vérification des autres comptes qui utilisent la même combinaison d’identifiants.
On rappellera au passage que parler de surveillance du dark web est assez flatteur, mais que personne ne peut prétendre avoir une vue exhaustive sur l’ensemble des forums, marchés, canaux privés, fichiers échangés entre groupes de cybercriminels. On parle surtout de sources connues et de dumps qui circulent largement. Certaines bases viennent de piratages rendus publics, d’autres ont été revendues sur des places de marché fréquentées, d’autres encore tournent depuis des années entre différents acteurs et finissent par remonter jusqu’à ces services. À cela s’ajoutent parfois quelques sources plus institutionnelles et des projets spécialisés dans l’indexation de fuites.
Dans tous les cas, l’outil ne scrute pas vos données en temps réel sur le dark web au sens littéral. Il n’explore pas chaque recoin obscur d’Internet en quête de votre nom. Il compare des informations que vous lui avez volontairement soumises à des collections de données déjà en circulation, avec un décalage temporel plus ou moins important. En clair, entre le moment où une base est volée, puis revendue à tour de bras, et le moment où vous l’apprenez, il peut se passer des semaines, des mois, voire plus. Certaines fuites ne seront d’ailleurs jamais diffusées à grande échelle et resteront de facto hors d’atteinte pour ce type de veille.
On travaille donc avec un périmètre forcément incomplet, mais pas inutile pour autant. Lorsque votre adresse mail ressort dans un dump lié à un service en ligne, l’alerte arrive, vous changez le mot de passe, vous activez la double authentification, vous passez en revue les autres comptes potentiellement exposés. Pour celles et ceux qui ne consultent jamais spontanément des bases de fuites, c’est souvent le seul signal qui évite de laisser traîner des identifiants compromis pendant des années.
… vite rattrapée par la réalité du terrain
Alors, oui, on ne va pas se mentir, ces outils jouent un vrai rôle, mais un rôle très précis. Ils détectent que quelque chose a déjà mal tourné et vous aident à réagir plus vite. Or, c’est souvent là que le malentendu s’installe. Une alerte dark web ne protège jamais d’une attaque qui n’a pas encore eu lieu. Quand un service vous prévient qu’une adresse mail, un numéro de téléphone ou une carte bancaire apparaissent dans une base en circulation, cela signifie que quelqu’un a déjà mis la main sur ces informations et les a déjà diffusées ou revendues.
Par là même, ces outils tendent à passer sous silence la diversité des scénarios d’usurpation d’identité. Les fuites massives marquent les esprits parce qu’elles affichent des chiffres vertigineux, des dizaines de millions d’identifiants exposés à chaque incident, mais une bonne partie des fraudes repose en réalité sur des méthodes beaucoup plus prosaïques : vol de papiers physiques, numéros de carte siphonnés sur un terminal compromis, dossiers montés à partir de copies de documents récupérées lors de démarchages agressifs ou de fausses procédures administratives, campagnes de phishing opportunistes. Tout cela échappe complètement à ce type de veille, et dans ces cas-là, la première alerte concrète n’est jamais une notification salvatrice dans une application ou dans votre boîte mail, mais un crédit surprise refusé, un prélèvement suspect ou un courrier évoquant une démarche que vous n’avez jamais effectuée.
Autre limite, la nature même des données qui fuient. De nombreuses bases mises en vente ne contiennent pas de combinaisons mail + mot de passe, mais agrègent quand même des informations de profil, prénom, nom, adresse postale, date de naissance, numéro de sécurité sociale. Or, ces éléments ne déclenchent pas d’alertes, alors qu’ils suffisent déjà à rendre des tentatives de fraude plus crédibles ou à passer certains contrôles d’identité sommaires.
Là où la sécurité perçue prend le pas sur la sécurité réelle
À cela s’ajoute un phénomène qui fausse largement la perception du risque, et que les éditeurs ont tendance à sous-estimer. Une interface qui n’affiche aucun incident détecté donne mécaniquement l’impression d’une situation maîtrisée, et conforte les internautes les moins sensibilisés dans l’idée qu’ils peuvent continuer à réutiliser les mêmes mots de passe partout, repousser l’activation de l’authentification multifacteur, surveiller leurs comptes bancaires qu’en cas de problème manifeste. Le module de surveillance finit perçu comme une sorte d’assurance tous risques, alors que son rôle réel se limite à un suivi partiel de données déjà exposées dans un périmètre donné.
Enfin, dernier point, et pas des moindres, la confiance que ces services exigent. Pour qu’ils fonctionnent, il faut leur confier des éléments sensibles, adresses mail, numéros de téléphone, parfois références de cartes ou de documents d’identité. Les éditeurs promettent chiffrement, hachage, pseudonymisat, cloisonnement, mais le fait brut demeure : un acteur supplémentaire collecte des informations que l’on cherche justement à garder sous contrôle. Pour certaines personnes, le gain de visibilité sur les fuites éventuelles justifie cet arbitrage. Pour d’autres, le simple fait de confier ces données à un tiers constitue déjà un pas de trop.
Au bout du compte, ces modules ne sont ni superflus ni miraculeux. Ils jouent leur rôle lorsqu’une fuite passe à portée de leurs radars et qu’il faut remettre un peu d’ordre dans ses comptes. Mais ils ne traitent qu’une partie du problème, n’empêchent aucune fuite et ne remplacent ni un gestionnaire de mots de passe solide, ni une authentification multifacteur systématique, ni une protection réseau correcte lorsqu’on se connecte à des réseaux à risque, ni une vigilance minimale au quotidien.
