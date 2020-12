Carte d’identité : 50 centimes, carte de crédit : 6 €, Réputation : gratuit ? Combien sont vendues les données personnelles et comment permettent-elles le doxing ?

décembre 2020 par Kaspersky

La frontière entre vie en ligne et hors-ligne devient de plus en plus étroite et nos actes en ligne influencent directement le monde réel. L’un des domaines les plus touchés est le partage des informations personnelles, n’importe quelle donnée pouvant être utilisée contre un utilisateur. Les chercheurs de Kaspersky se sont penchés sur deux conséquences majeures du partage volontaire ou non de données personnelles : le doxing d’une part, qui se définit comme la divulgation de données d’identité d’une personne dans le dessein de lui nuire, et d’autre part la vente de données personnelles sur le darknet. Et quand on regarde, il s’avère que l’accès à des données telles que les dossiers médicaux ou les pièces d’identité peut s’avérer moins cher qu’un simple café.

Si la population est de plus en plus en sensible aux questions de protection de la vie privée, la compréhension de la valeur des informations personnelles reste superficielle. A titre d’exemple, 37 % des Millennials estiment que leurs données personnelles ne sont pas suffisamment intéressantes pour être la cible de cybercriminels. Pourtant, le doxing, qui est une forme de cyberintimidation, peut toucher tout utilisateur qui s’exprime en ligne ou qui ne se conforme pas aux règles subjectives des autres utilisateurs.

Le doxing, ou la désanonymisation d’un utilisateur en ligne, pour nuire à sa réputation.

Le doxing consiste à partager les données personnelles d’une personne sans son consentement afin de l’embarrasser, de la blesser voire de la mettre en danger. En général, les utilisateurs ne s’attendent pas à ce que leurs informations personnelles soient publiées, et même si c’est le cas, ils n’anticipent pas le préjudice que cela pourrait leur causer. Or en pratique, avec des agresseurs particulièrement déterminés ou des utilisateurs simplement malveillants, le doxing peut potentiellement aller jusqu’à pirater les comptes de la cible - un service offert sur les marchés clandestins.

La vente de données en ligne, un marché fructueux… et très accessible !

Pour comprendre comment les informations personnelles des utilisateurs peuvent tomber entre de mauvaises mains, les chercheurs de Kaspersky ont analysé les offres actives de dix forums et marchés darknet internationaux. Leurs recherches ont révélé que le coût d’accès aux pièces d’identité d’une personne peut commencer à partir de 40 centimes d’Euros. Certaines informations personnelles sont toujours aussi demandées qu’il y a dix ans, comme les données de cartes de crédit, l’accès aux services bancaires ou de paiement électronique. Et leurs prix respectifs sont restés sensiblement les mêmes.

Combien coûtent vos données ?

Données de cartes bancaires : 5 – 16€

Scans de permis de conduire : 4 – 20€

Scans de passeport : 5 – 12 €

Services d’inscriptions : 0,40cts – 6€

Identité (nom, email, mobile, date de naissance, n° de sécurité sociale : 0,40cts – 8€

Selfie avec pièces d’identité (passeport etc.) : 33 – 50€

Dossier médical : 0,80cts – 25€

Compte bancaire en ligne : Entre 1 et 10% de la valeur du montant

Comptes PayPal : 41 – 410€

Ordre de prix en € pour les différents types de données identifiées à la suite de l’analyse des offres sur les forums du marché clandestin

Cependant, de nouveaux types de données sont désormais en vente, comme les dossiers médicaux personnels ou des selfies avec des pièces d’identités, qui peuvent valoir jusqu’à 50€ pièce. L’augmentation du nombre de photos prises avec des documents officiels en main ou celui des arnaques les utilisant reflète également une tendance dans le "jeu des cyberbiens". L’utilisation abusive de ces données peut aller jusqu’à l’usurpation d’identité des victimes. Des conséquences bien réelles pour les victimes.

Les conséquences de l’utilisation frauduleuse de telles données personnelles sont importantes. Vendues sur le marché clandestin du net (darkweb), elles peuvent être utilisées à des fins d’extorsion, d’escroqueries, de phishing ou de vol direct d’argent. Certains types de données, comme l’accès aux comptes personnels ou à des bases de données de mots de passe, peuvent être utilisés de manière abusive non seulement en vue de gains financiers, mais aussi pour nuire à la réputation ou causer d’autres dommages sociaux, y compris le doxing.

« Ces dernières années, de nombreux aspects de notre vie ont été numérisés - et certains d’entre eux, comme notre santé, par exemple, sont particulièrement intimes. Comme nous le constatons par le nombre croissant de fuites, cela signifie plus de risques pour les utilisateurs. Cependant, de nombreuses organisations prennent des mesures supplémentaires pour sécuriser les données de leurs utilisateurs. Les plateformes de médias sociaux ont fait des progrès particulièrement significatifs à cet égard, il est désormais beaucoup plus difficile de voler le compte d’un utilisateur. Cela dit, je crois que notre recherche souligne combien il est important d’être conscient que vos données ont en fait beaucoup de valeur et peuvent être utilisées à des fins malveillantes même si vous n’êtes pas spécialement riche, n’exprimez pas d’opinions controversées et n’êtes pas très actif en ligne », commente Dmitry Galov, chercheur en sécurité au GReAT de Kaspersky.

« Internet nous a donné l’occasion d’exprimer nos individualités et de partager nos histoires, et c’est fantastique. Il faut cependant comprendre qu’être présent et s’exprimer en ligne n’est pas exactement une activité privée. C’est plutôt comme crier dans une rue bondée : on ne sait jamais qui peut se présenter, ni comment il va réagir, ou exprimer son désaccord. Cela comporte des risques », commente Vladislav Tushkanov, expert en protection de la vie privée chez Kaspersky. « Cela ne signifie pas que nous devons tous supprimer et fermer nos comptes de médias sociaux, bien sûr. Il s’agit plutôt de comprendre les conséquences et les risques potentiels et de s’y préparer. La meilleure façon de procéder lorsqu’il s’agit de vos données est la suivante : sachez ce qu’ils savent, supprimez ce que vous pouvez et prenez le contrôle des informations vous concernant qui sont mises en ligne. C’est aussi simple que cela, mais cela demande des efforts ».

Pour réduite les risques d’extorsion de vos informations personnelles, Kaspersky recommande :

• Etre attentif aux courriels et aux sites web de phishing ;

• Toujours vérifier les paramètres de permission des applications utilisées, afin de minimiser la probabilité qu’un tiers ne partage ou ne stocke les données à l’insu de l’utilisateur.

• Utiliser une authentification à deux facteurs. Ne pas oublier que l’utilisation d’une application qui génère des codes à usage unique est plus sûre que la réception du second facteur par SMS. Si besoin d’une sécurité supplémentaire, investir dans une clé 2FA ;

• Utiliser une solution de sécurité fiable comme Kaspersky Password Manager pour générer et sécuriser des mots de passe uniques pour chaque compte, et résister à la tentation de réutiliser sans cesse le même ;

• Pour savoir si l’un des mots de passe utilisés pour accéder à ses comptes en ligne a été compromis, utiliser un outil tel que Kaspersky Security Cloud. Sa fonction de vérification des comptes permet aux utilisateurs d’inspecter leurs comptes pour détecter d’éventuelles fuites de données. Si une fuite est détectée, Kaspersky Security Cloud fournit des informations sur les catégories de données qui peuvent être accessibles au public afin que la personne concernée puisse prendre les mesures appropriées ;

• Toujours prendre en considération la manière dont le contenu partagé en ligne pourrait être interprété et utilisé par d’autres personnes.