Données à vendre pour 11 euros… sur le dark web

Données à vendre sur le dark web

Les cybercriminels aussi valorisent les données, mais sans support de la datascience. La vente de données personnelles dérobées sur Internet rappelle les entreprises à leurs obligations de sécurisation et de notification des fuites aux autorités de protection.

Combien vaut un utilisateur de Facebook ? En 2015, selon un rapport d’eMarketer, c’était 11 euros, soit autant que le prix de revente en 2019 d’un compte de réseau social sur le dark web.

VPNOverview estime le prix moyen pratiqué par les cybercriminels à 11,69 euros. D’autres données sont également à vendre, pour des prix très variables. Ainsi, des données personnelles (nom, adresse, numéro de téléphone, historique de crédit) se monnayent entre 36 et 180 euros.

Des millions de comptes en vente

Les informations d’un passeport britannique grimpent à 675 euros. Toutefois, les pirates ne se cantonnent pas à des données individuelles. De grands volumes, dérobés par exemple après des intrusions informatiques ou des failles de sécurité, s’échangent aussi sur le dark web.

L’étude précise que des millions de comptes sont ainsi proposés à la vente. C’est le cas par exemple de comptes du service MyHeritage. Offre à saisir de plus de 65 millions de comptes pour tout juste 3200 dollars.

Quel intérêt ? Ces comptes peuvent stocker des données personnelles exploitables ensuite pour compromettre d’autres comptes d’internautes ou favoriser des attaques de social engineering. Ceux-ci ont en effet tendance à réutiliser les mêmes identifiants.

La compromission d’un compte peut dès lors avoir des effets en cascade faute de respecter les principes d’une bonne hygiène informatique. Pour l’analyste en cybersécurité David Jansen, ces chiffres visent d’abord à « sensibiliser le public aux dangers du vol d’identité » et à l’informer sur les risques.

Ces chiffres sur la valeur des données sur le dark web sont aussi un rappel pour les entreprises stockant des données personnelles. Les responsables de traitement ont une obligation de sécurisation. Et celle-ci préexistait à l’entrée en vigueur du RGPD.

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » stipule ainsi l’Article 34 de la loi informatique et libertés.

Un assureur condamné par la Cnil pour défaut de sécurité

Le Règlement européen est venu renforcer ces obligations de protection et imposer une notification aux autorités des fuites de données. Les sanctions ont également été revues à la hausse. Les entreprises peuvent se reporter au kit de sécurité de l’ANSSI pour monter en compétence sur ce volet sécurité.

En ce qui concerne les notifications de violation de données, la Cnil en a comptabilisé 1170 en 2018, concernant plusieurs dizaines de millions de personnes en tout (chiffre non dédupliqué). Lors de la présentation de son dernier rapport d’activité, Christophe Vivent, du service d’expertise technologique de la Cnil, précisait que 50% des violations avaient pour cause un acte de malveillance externe.

L’année dernière, sur ces 1170 violations de données signalées à l’autorité de protection, seule une a donné lieu à une mise en demeure. Depuis, la Cnil a toutefois prononcé une sanction de 180.000 euros à l’encontre d’un assureur, Active Assurances.

Cette amende administrative (assortie de la publicité de la sanction) sanctionnait l’entreprise « pour avoir insuffisamment protégé les données des utilisateurs de son site web » et exposé les données de milliers de clients et ex-clients.

A propos de Christophe Auffray 217 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*