Données personnelles : vous seriez surpris en découvrant leur (faible) prix sur le dark web

09 septembre 2020 à 10h50
32
dark web © Pixabay
© Pixabay

Les informations relatives aux cartes bancaires ne se vendent que pour quelques dizaines de dollars sur le marché noir, véritable supermarché des pirates informatiques.

Que des données personnelles volées se retrouvent sur le dark web, cela n'a rien d'un mythe : c'est bien une réalité. On y retrouve des numéros de cartes de crédit, des permis de conduire, des comptes issus de divers médias sociaux, des logiciels malveillants ou des attaques par déni de service (DDoS) sur commande, la liste étant, bien entendu, incomplète. Mais alors que l'on peut penser que nos informations personnelles se vendent à des prix qui ne sont pas forcément accessibles à toutes les bourses, certaines données, que nous venons d'évoquer à l'instant, se monnayent à des tarifs dérisoires.

Un marché qui semble répondre à la loi de l'offre et de la demande

Pour montrer à quel point il est, entre guillemets, « facile » pour des hackers de se procurer des informations personnelles, les chercheurs de Privacy Affairs ont mis en ligne leur indice des prix du dark web pour 2020. Celui-ci, mis à jour assez régulièrement, offre un large panorama de ce que l'on peut retrouver sur le dark web et surtout, à quel tarif.

Dans les bas-fonds de l'Internet, le vaste marché possède un rayon bien fourni en cartes bancaires. Et il y a en a pour tous les goûts. On y retrouve par exemple une carte VISA clonée avec un code PIN pour 25 dollars, une American Express contre 35 dollars et, encore plus accessible, une Mastercard en échange de 15 petits dollars. Les informations relatives à la carte de crédit varient entre 12 et 20 dollars selon le solde du compte que le pirate veut atteindre, tandis que les données relatives aux comptes bancaires en ligne, elles, se négocient pour 35 ou 65 dollars, ce dernier tarif offrant l'accès à un compte dont le solde minimum est de 2 000 dollars.

Régies par la loi de l'offre et de la demande, les données d'accès à des comptes de réseaux sociaux varient selon les mesures de sécurité des différentes plateformes, renforcées pour la plupart, ce qui entraîne une baisse de la demande. Un compte Twitter piraté coûtera moins cher (49 dollars) qu'un compte Instagram (55,45 dollars) ou Facebook (74,5 dollars). On notera que dans ce rayon, le dark web propose aussi des gains d'abonnés, des likes ou des retweets, selon le réseau. Des opérations dont les montants varient entre trois et 25 dollars.

Des attaques DDoS à partir de dix dollars

Un compte Gmail piraté vaut autour de 156 dollars. C'est bien plus que tous les « produits » que nous venons d'évoquer. Mais pourquoi ? « Cela peut s'expliquer par le fait que de nombreuses personnes utilisent des options de connexion unique, ce qui signifie qu'un compte de messagerie électronique compromis pourrait ouvrir tout un trésor de données et un accès à divers autres services », explique Benoit Grunemwald, expert en cybersécurité chez ESET France.

Sur le marché noir de l'Internet, on retrouve également des produits plus complexes, plus coûteux, mais dont les effets peuvent souvent être dévastateurs pour celles et ceux qui en sont victimes. Certains cybercriminels se proposent par exemple de mener une attaque par déni de service (DDoS) et d'envoyer dix à 50 000 requêtes par seconde durant une heure, 24 heures, une semaine voire un mois, à des tarifs qui varient en fonction de la durée notamment, allant de dix dollars pour l'heure à au moins 800 dollars pour le mois.

Enfin, le dark web propose même à ses acheteurs potentiels diverses formes de logiciels malveillants, dont les prix varient cette fois de 70 dollars pour un malware de faible qualité avec un faible taux de réussite à 6 000 dollars pour le logiciel malveillant dit « premium ». Ah, la société de consommation !

Pour éviter que vos données puissent se retrouver sur le dark web, il est bon de rester attentif au quotidien. Cela passe par l'adoption de l'authentification à multiples facteurs (bien que l'on ait pu voir qu'elle n'était pas un gage de sûreté absolue, par exemple chez Amazon ), la mise à l'écart du Wi-Fi pour consulter ses comptes sensibles ou de solides mots de passe, différents pour chacun des services et applications que vous utiliserez.

Modifié le 09/09/2020 à 10h55
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
32
14
xryl
Je ne comprends pas la logique ici. Si une Visa associée à un compte de 2000$ est vendue 20$, pourquoi le pirate ne vide-t-il pas le compte directement ?<br /> Le bénéfice dans ce cas sera 100x plus important pour le même risque (après tout, si l’acheteur se fait attraper, il donnera le contact du pirate, donc in fine, le pirate risque autant que de faire ses achats lui même).
GRITI
Le pirate est sûrement bien plus à l’abri en revendant les infos qu’en vidant les comptes.<br /> Si les prix sont si bas, cela signifie peut-être par exemple que ces données son très faciles à obtenir et que donc il y en a beaucoup de disponibles. Ce qui fait chuter les prix.<br /> L’authentification à double facteur si c’est pour donner mon numéro de portable aux sites marchands, sans façon.<br /> Mode parano ON:<br /> Je me demande d’ailleurs s’ils ne peuvent pas faire le lien ensuite entre le smartphone, le numéro, les contacts qui ont ce numéro et qui ont par exemple installé une appli d’un site marchand (ex Amazon).
trikkle
Par ce qu’il ne faut pas se faire attraper après. Tu fais comment pour récupérer l’argent ? Tu fait un virement direct sur ton compte ? On va vite te retrouver C’est le même principe que pour de l’argent sale.
Furax
Article intéressant. Le concept d’offre et de demande fonctionne bien ici aussi!<br /> Par contre point noir pour le titre qui reprend tous les principes des pubs à la c** qu’on voit partout sur Internet… Ca ne donne pas une impression de sérieux en tout cas à mon goût.
Aristote76
Ça prouve surtout que si il avait pas de gens malhonnêtes pour alimenter ce marché il régresserai de lui même, et que si les organisme financiers voulaient payer le prix de la sécurité ce marché n’existerai quasiment pas. Seulement voilà les financiers réfléchissent en coût de revient et les bandits en si je peut avoir sans rien faire.
xryl
Justement, si tu te fais attraper, tu vas donner le contact du pirate, donc il est grillé. (Puisqu’il t’a envoyé la CB, il est traceable, je pense).
cirdan
«&nbsp;la mise à l’écart du Wi-Fi pour consulter ses comptes sensibles&nbsp;»<br /> En même temps, les banques sont en train de, littéralement, lier les mains de leurs clients en les obligeant de plus en plus à utiliser leur application smartphone pour avoir simplement accès à la consultation de leurs comptes par internet.<br /> C’est une pratique détestable, dangereuse et qui laisserait sur le carreau beaucoup de personnes.<br /> J’espère qu’ils vont bien réfléchir et faire machine arrière sur leurs exigences, ou alors le législateur devra assumer ses responsabilités pour garantir aux clients des services non contraints.
AlexLex14
Merci pour l’article.<br /> Le tire, en revanche, n’a pas été choisi pour «&nbsp;faire comme.&nbsp;» Il y avait tellement d’infos chiffrées à donner que j’ai préféré un titre général et qui donne envie un minimum.<br /> Attention par contre : donner envie ne veut pas dire putaclic !
Jetto
J’imagine un système de sigle signe on sans échange de mot de passe, basé sur les preuves nulles de divulgation de connaissances.
GRITI
Je suis le premier à râler quand il y a des articles avec titres putaclics sur Clubic (CF la news sur la PS5 en or massif…alors que c’est du plaqué or).<br /> Dans le cas de cet article, ce n’est absolument pas l’impression que j’ai en voyant le titre.<br /> xryl:<br /> Si un article putaclic donne envie alors donner envie ne veut pas dire putaclic est faux.<br /> Article putaclic…c’est subjectif. Selon les personnes l’article sera putaclic ou ne le sera pas.<br /> cirdan:<br /> lier les mains de leurs clients en les obligeant de plus en plus à utiliser leur application smartphone pour avoir simplement accès à la consultation de leurs comptes par internet.<br /> Les dernières fois où j’ai appelé ma banque et qu’ils me parlaient de ce que je pouvais faire avec leur appli sur mon smartphone…je leur ai répondu que je ne faisais rien de bancaire avec mon téléphone…<br /> Pareil pour ma mutuelle. Ce sont des données trop sensibles pour que je me serve de mon smartphone. Pourtant j’ai un pare-feu, pas de compte Google, de réseaux sociaux, de jeux etc…;Mais quand même…je m’en méfie comme de la peste.
c_planet
La vraie question est de savoir si l’auteur a été réellement surpris. Le titre en dit tjs long sur l’auteur, plus que sur l’info. Je trouve les prix sans surprise, surtout qu’ils s’arrangent bien sûr pour faire de multiples ventes. Pour un de mes Login et mot de passe en fuite (Fnac.be ou Schäfer), j’ai reçu 5 demandes de rançon différentes, à la fin tu te surprends même à avoir pitié du malfaiteur acheteur qui s’est fait rouler et qui ne récolte même plus un seul kopeck de pigeon sur son portefeuille BTC.
duck69
Beaucoup moins de risque de vendre la cb pirate que de vidée le compte , comme le transport de drogue qui paye moins que la revente mais avec aussi moins de risque.
GRITI
c_planet:<br /> La vraie question est de savoir si l’auteur a été réellement surpris.<br /> A aucun moment l’auteur dit qu’il est surpris. C’est une extrapolation d’affirmer qu’il a été.<br /> De mon point de vue, il part de la surprise des lecteurs qui ne sont pas tous au fait de ce genre d’information. Poour moi il part du principe qu’une grosse partie des lecteurs de Clubic ne connaissent pas forcément ce domaine. Et je parle bien des lecteurs. Pas des membres qui sont inscrits et commentent les news ou vont sur le forum.<br /> c_planet:<br /> Le titre en dit tjs long sur l’auteur<br /> Ah bon? Le titre peut éventuellement indiquer un certain niveau de langage et autre aspect «&nbsp;techniques&nbsp;» mais pas nécessairement des choses sur son auteur. Tout simplement car cela dépend du contexte, du public ciblé etc…
trikkle
Si le hacker est méfiant pour utiliser des informations bancaires, il le sera pour transmettre les informations à l’acheteur. C’est plus facile d’envoyer un fichier de façon anonyme et que de se faire un virement. Et pour le paiement, je pense qu’il utilisera de la crypto-monnaie.
xryl
D’accord, mais il faut bien à un moment qu’il envoie la carte bleue (vue qu’il s’agit d’une carte copiée avec PIN). Donc il y a bien un expéditeur et un destinataire au colis. Difficile d’y échapper physiquement.
GRITI
Pas forcément besoin de mettre l’expéditeur quand on envoie une lettre. Et si c’est pour un achat en ligne, pas besoin de la carte physique.<br /> Non?
Pronimo
Je trouve quand meme beaucoup plus grave de vendre des scan de passeport / carte identité (c’est très a la mode aujourd’hui d’envoyer des copies haute résolution en ligne pour vérification… et on connait bien les bras cassés de développeurs qui laissent traîner des brèches sur les systèmes) qu’un numéro de cb. Au pire, y a un plafond de retrait et l’assurance rembourse (mais certes faut constituer un dossier et les banques sont parfois casse couilles la dessus car on reporte toujours la faute sur toi). Enfin, une CB ça se change aussi, mais une identité propice a l’usurpation d’identité, pas vraiment.
xryl
Achat en ligne, il y a le 3D secure et le code CVV (bidon, je sais). Pour le premier, il faut avoir un téléphone associé au compte sans quoi, tout essai est grillé vu que le vrai proprio de la carte va recevoir un SMS pour un achat qu’il n’a pas fait. Pour le second, il peut bien être dans la base de donnée, mais il ne sert à rien vu que tu ne peux pas acheter en ligne avec. Il reste donc «&nbsp;que&nbsp;» l’utilisation de la carte physique. Le pirate peut bien l’envoyer dans une enveloppe (bonjour la confiance pour l’acheteur qui doit payer un pirate en avance…) et la poster dans une boite au lettre n’importe où. On saura laquelle par contre avec le cachet de la poste. Je suppose qu’ensuite, si il y a beaucoup d’envoi de cartes à partir de la même adresse/BAL, une petite surveillance peut s’organiser pour la police sur ces BAL. Pas évident, mais pas impossible non plus.
GRITI
xryl:<br /> il y a le 3D secure<br /> Cela dépend des sites. Parfois j’y ai droit parfois non. Je pense que quand tu fais appel à un pirate tu dois les connaître. Mais bon, reste le problème de l’adresse de livraison. Sauf dans des consignes automatiques éventuellement.<br /> xryl:<br /> bonjour la confiance pour l’acheteur qui doit payer un pirate en avance<br /> Ca doit être comme Uber. Tu notes ton pirate et tu fais confiance à ceux qui ont 5 étoiles :).<br /> Et les bons pirates peuvent acheter des étoiles <br /> xryl:<br /> une petite surveillance peut s’organiser pour la police sur ces BAL. Pas évident, mais pas impossible non plus.<br /> Ouais sauf que si c’est à l’étranger, d’ici ) ce que les pays se mettent d’accord pour organiser cette surveillance…<br /> Tout cela montre bien que l’article est incomplet. On veut savoir comment faire nous…euh comment ils font <br /> Pronimo:<br /> l’assurance rembourse<br /> Pas besoin d’assurance si c’est un achat en ligne. La banque a l’obligation légale de rembourser.<br /> Une fois mon banquier a voulu me refourguer une assurance pour les achats frauduleux en ligne. Quand je lui ai dit que la banque avait obligation de rembourser il est passé vite à autre chose
c_planet
@Griti.<br /> Wé, je suis mega subversif, je commence toutes mes affirmations par «&nbsp;la question est de savoir …&nbsp;» °_0<br /> Perso, je trouve pas le titre racoleur, d’où cette question.
GRITI
@c_planet<br /> En lisant ton post, j’ai le sentiment que justement tu as un souci avec le titre… Si j’ai mal compris, désolé.
AlexLex14
c_planet:<br /> Le titre en dit tjs long sur l’auteur, plus que sur l’info.<br /> Un titre ne doit à aucun moment transposer la pensée de son auteur. Comme le contenu d’ailleurs.<br /> Par contre, après, on peut amener de la forme, et ce que l’on appelle du style (mais pas au sens pompeux du terme, hein). Ici, tu en as un bel exemple <br /> Tu n’as peut-être pas été surpris par ces tarifs, mais pense bien qu’une majorité de lecteurs aura pu l’être… Et Clubic reste un média tech grand public, qui s’adresse à toutes et tous
twenty94470
On a déjà récupéré ma carte je sais pas comment pour faire des achats sur des sites de l’est, j’ai pu être remboursé mais quand j’ai demandé pourquoi chaque transaction ne pouvait pas être validé par l’application j’ai pas eu de réponse…<br /> Sans un renforcement l’application sert juste à faire chier l’utilisateur pour la connexion à son compte…
cirdan
Le problème de l’application, c’est que pas tout le monde peut, sait ou a envie de l’utiliser (pour des raisons de confidentialité). Mais on a de moins en moins le choix.<br /> Il y a des personnes âgées qui ne peuvent rien acheter sur internet parce qu’elles n’ont pas de téléphone pour recevoir le code de confirmation.<br /> Il y a aussi, en ce moment, la date butoir de plusieurs banques pour obliger leurs clients à installer l’application, sinon plus d’achat en ligne ! C’est vraiment scandaleux.<br /> Je remets un lien intéressant sur la volte-face de la Suède, qui voulait passer au tout numérique pour l’argent, mais s’est rendue compte des problèmes que ça posait:<br /> Le Temps – 5 Mar 20<br /> La Suède revient à l’argent liquide<br /> La nation du «paiement tout numérique» fait marche arrière: une nouvelle loi vient d’entrer en vigueur pour obliger les banques à fournir des services en liquide. Une petite victoire contre les inégalités sociales et les craintes face aux possibles...<br />
offset891
Parce qu’il prend un risque, pour rapartier l’argent, le blanchir etc … c’est un «&nbsp;métier&nbsp;»<br /> Surtout qu’il y a des chances que la carte soit déjà bloqué (si la victime s’est rendu compte qu’elle venait de rentrer sa carte sur une form de fishing par exemple), avec un solde faible, …
offset891
C’est le commerçant qui doit activer ou non la validation 3DSecure (le fameux SMS), cela lui permet de réduire son taux de fraude.<br /> Car en cas d’utilisation frauduleuse de la carte, ce n’est pas la banque qui vous rembourse, mais le commerçant, qui prend une pénalité, et perd aussi ses fonds.
GRITI
cirdan:<br /> Il y a aussi, en ce moment, la date butoir de plusieurs banques pour obliger leurs clients à installer l’application, sinon plus d’achat en ligne ! C’est vraiment scandaleux.<br /> Je n’étais pas du tout au courant de cela…Des liens sur le sujet?
cirdan
Oui, par exemple ceux-là. Mais cette décision pose tellement de problèmes que je me demande si elle ira au bout telle-quelle.<br /> https://banque.meilleurtaux.com/banque-en-ligne/actualites/2020-avril/etablissements-financiers-traditionnels-envisagent-rendre-application-bancaire-obligatoire.html<br /> lesnumeriques.com<br /> Pour vos emplettes sur le web, l'app de votre banque sera bientôt obligatoire<br /> Acheter sur Internet est devenu pour beaucoup une habitude. Un numéro de carte bancaire, un code de sécurité reçu par SMS&nbsp;: hop, emballé c’est pesé. Cela dit, certaines franges de la population pourraient être exclues d’ici peu de ce confort.<br />
GRITI
Ok merci. J’avais oublié la norme DSP2…dont les articles sur le sujet m’avaient pourtant fait grincer des dents à l’époque.<br /> Je comprends mieux pourquoi le Crédit Agricole m’envoie désormais un mail et plus un SMS à chaque achat.<br /> A suivre donc pour ce sujet aussi.
cirdan
Et tu imagines ? Tu perds ton smartphone, tu te le fais voler, il se casse, il bugue… Privé d’achats en ligne ou en magasin, données personnelles dans des mains douteuses ?<br /> Sans compter ceux qui n’en ont pas ou ne savent pas s’en servir : les personnes âgées, dépendantes, aux faibles revenus…<br /> Bref, encore une norme pondue dans entre quatre murs mais déconnectée de la réalité.
GRITI
Tu oublies ce qui est précisé dans l’article: smartphone trop vieux ou sans store android.<br /> On peut aussi imaginer une panne (ou un piratage) réseau comme celle que les opérateurs viennent de subir avec une attaque DDoS, être dans une zone blanche. Ou tout simplement ceux qui n’ont pas de forfait avec data. Bref, c’est pas gagné. Il ne restera qu’à essaye de trouver des solutions pour bidouiller et contourner le système ou ne pas l’alimenter. Ce qui ne sera pas le cas de la grosse majorité des gens malheureusement.
hedredo
Le problème du darknet c’est que c’est difficilement tracable. Si tout mets tout en oeuvre pour que la piste soit ultra dur de remonter à toi, t’as peu de chance de te faire attraper. A moins d’être un très gros hacker freelance ou un réseau malveillant, il y a peu de chance qu’on mette autant de moyens pour pouvoir tracer un petit «&nbsp;hacker&nbsp;». Il est plus facile de retrouver quelqu’un qui a utilisé les cartes bancaires que celui qui l’a chopé et vendu.
Voir tous les messages sur le forum

Actualités du moment

Nintendo demande aux développeurs de rendre leurs jeux compatibles 4K pour la prochaine Switch
Crash Bandicoot 4 : une démo téléchargeable bientôt... à condition d'avoir déjà acheté le jeu
Le Skoda Enyaq iV va recevoir une version coupé
Nintendo aurait planché sur une Gamecube portable qui rappelle sa dernière-née
Bouygues Telecom augmente encore la facture des abonnés, sans possibilité de refus
Nintendo demande aux développeurs de rendre leurs jeux compatibles 4K pour la prochaine Switch
La NASA travaille sur un algorithme capable de prédire l'intensité des ouragans
ASrock annonce les 4X4 BOX-4000 : des mini-PC à base de Ryzen 4000 et réseau 2,5 GbE
Le canton de Zoug (Suisse) acceptera bientôt le paiement d'impôts en crypto-monnaie
Ballistix MAX 5100, Crucial vise les joueurs exigeants et... fortunés
Haut de page