Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Que valent mes données perso sur le darknet ?
Sur le darknet, la valeur de nos données perso est très variable. Kasperksy a analysé les offres actives de dix forums et marchés parallèles.
Que valent mes données perso sur le darkweb ? Identité (nom, e-mail, mobile, date de naissance, n° de sécurité sociale) : 0,40 à 8 EUR. Données de cartes bancaires : 5 à 16 EUR. Pas grande chose. Scans de passeport : 5 à 12 EUR. Soit moins que les scans de permis de conduire : 4 à 20 EUR. Selon les estimations de Kaspersky, un permis de conduire vaut plus qu’un dossier médical, estimé entre 0,80 et 25 EUR. Quant à la valeur d’un compte bancaire en ligne, il oscille entre 1 et 10% de la valeur du montant…
La frontière entre vie en ligne et hors-ligne devient de plus en plus étroite. Qui plus est, nos actes en ligne influencent directement le monde réel. L’un des domaines les plus touchés est le partage des informations personnelles. N’importe quelle donnée peut être utilisée contre un utilisateur. Les chercheurs de Kaspersky se sont penchés sur deux conséquences majeures du partage volontaire ou non de données personnelles. Un : le doxing (la divulgation de données d’identité d’une personne dans le dessein de lui nuire). Deux : la vente de données personnelles sur le darknet. Et là, surprise : l’accès à des données telles que les dossiers médicaux ou les pièces d’identité peut s’avérer moins cher qu’un simple café !
Le doxing, sous-estimé
Si la population est de plus en plus sensible aux questions de protection de la vie privée, la compréhension de la valeur des données perso reste superficielle. Ainsi, 37 % des Millennials estiment que leurs données ne sont pas suffisamment intéressantes pour être la cible de cybercriminels… Pourtant, le doxing, qui est une forme de cyberintimidation, peut toucher tout utilisateur qui s’exprime en ligne. Pis : il peut toucher quiconque ne se conforme pas aux règles subjectives des autres utilisateurs.
Le doxing, regrette Kaspersky, est le plus souvent sous-estimé. En général, les utilisateurs ne s’attendent pas à ce que leurs informations personnelles soient publiées. Et si c’est le cas, ils n’anticipent pas le préjudice que cela pourrait leur causer. Or, en pratique, avec des agresseurs particulièrement déterminés ou des utilisateurs simplement malveillants, le doxing peut potentiellement aller jusqu’à pirater les comptes de la cible -un service offert sur les marchés clandestins.
Nos données perso, un marché fructueux
Pour comprendre comment les données perso des utilisateurs peuvent tomber entre de mauvaises mains, les chercheurs de Kaspersky ont analysé les offres actives de dix forums et marchés darknet internationaux. Ainsi, le coût d’accès aux pièces d’identité d’une personne peut commencer à partir de 0,40 EUR. Certaines informations personnelles sont toujours aussi demandées qu’il y a dix ans. C’est le cas des données de cartes de crédit, l’accès aux services bancaires ou de paiement électronique. Et leurs prix respectifs sont restés sensiblement les mêmes.
De nouveaux types de données
Cependant, de nouveaux types de données sont désormais en vente, comme les dossiers médicaux personnels ou des selfies avec des pièces d’identités, qui peuvent valoir jusqu’à 50 EUR pièce. L’augmentation du nombre de photos prises avec des documents officiels en main est très nette. L’utilisation abusive de ces données peut aller jusqu’à l’usurpation d’identité des victimes.
De là tout un business. Vendues sur le darkweb, ces données peuvent être utilisées à des fins d’extorsion, d’escroqueries, de phishing ou de vol direct d’argent. De là, quelques conseils de vigilance de Kaspersky. D’abord, une grande attention aux e-mails et aux sites web de phishing.
Toujours vérifier les paramètres de permission des applications utilisées, afin de minimiser la probabilité qu’un tiers ne partage ou ne stocke les données à l’insu de l’utilisateur. Utiliser une authentification à deux facteurs. Ne pas oublier que l’utilisation d’une application qui génère des codes à usage unique est plus sûre que la réception du second facteur par SMS. Si besoin d’une sécurité supplémentaire, investir dans une clé 2FA.