Les données de milliers de Français sur un inquiétant marché noir
Un marché de hackers vend l’accès à des centaines de milliers de profils de victimes, qui peuvent chacun contenir plusieurs centaines d’identifiants. Le tout, pour à peine quelques dizaines d’euros. Mais le marché noir va plus loin : il propose gratuitement un outil pour copier le navigateur web des victimes, avec des conséquences catastrophiques : fraude financière, vol d’identité ou encore chantage à la divulgation d’informations compromettantes. Cyberguerre y a eu accès, pour mieux vous en montrer les dangers.
Pour quelques euros, des cybercriminels peuvent acheter des identifiants de Français piratés sur un marché en ligne. On y trouve des accès à des comptes faciles à revendre comme PayPal, Facebook, Gmail ou de banque ; des moyens de connexion à des sites administratifs comme ceux des impôts, de l’assurance maladie et de la CAF ; ou encore des identifiants pour des sites plus triviaux comme des forums de jeux vidéo ou des sites pornographiques.
Bien connu des experts du domaine, ce marché pirate a une particularité qu’il partage avec peu d’autres : il est accessible sur le « clear web », c’est-à-dire qu’il ne se cache pas vraiment. La majorité des places de marché où les cybercriminels s’échangent des informations en première main sont hébergées sur des sites en « .onion », accessibles uniquement via le réseau anonyme Tor. Relativement difficiles à trouver, elles sont aussi extrêmement volatiles, puisque les autorités les ferment à intervalle régulier.
Cependant, celle dont nous parlons ici existe en plein jour depuis plus d’un an, puisque Kaspersky Lab avait réalisé un rapport sur elle l’an dernier, évoquant le danger qu’elle représentait. Malgré ces avertissements, elle n’est toujours pas fermée ce jeudi 5 novembre. Pire, elle vend cinq fois plus de profils piratés — plus ou moins 320 000 — qu’à l’époque. En moyenne, des dizaines de profils de Français piratés sont déposés chaque jour. Ces profils contiennent non seulement leurs identifiants, mais aussi de quoi reproduire leur empreinte navigateur, sorte de carte de visite pour les sites web. Autrement dit, les acheteurs — des cybercriminels — s’offrent suffisamment d’informations pour voler une grande partie de l’identité en ligne des victimes.
Cyberguerre a pu accéder à cette plateforme, et a découvert des milliers de profils volés appartenant à des Français.
LE MARCHÉ NOIR A QUINTUPLÉ DE TAILLE EN UN AN
Pour accéder au site, il faut créer un compte à l’aide d’une invitation. On obtient ensuite l’accès à une liste de « bots », le nom donné à chaque profil vendu. Les vendeurs les ont dérobés le plus souvent à l’aide d’extensions de navigateur malveillantes, comme de faux bloqueurs de publicités. L’outil vérolé copie tout identifiant ou formulaire sauvegardé dans le navigateur, puis l’envoi directement au cybercriminel, situé à distance.
Chaque bot peut contenir des identifiants, des cookies, mais aussi une ou plusieurs empreintes navigateur. Certains contiennent à peine 3 identifiants, d’autres en offrent plus de 800, accompagnés de plus de 2 000 cookies. Ces bots perdent de la valeur avec le temps, puisque le risque que la victime ait changé ses identifiants augmente : comme sur une plateforme de vente classique, les cybercriminels soldent donc leurs produits à intervalles réguliers.
