
Les cybercriminels aussi valorisent les données, mais sans support de la datascience. La vente de données personnelles dérobées sur Internet rappelle les entreprises à leurs obligations de sécurisation et de notification des fuites aux autorités de protection.
Combien vaut un utilisateur de Facebook ? En 2015, selon un rapport d’eMarketer, c’était 11 euros, soit autant que le prix de revente en 2019 d’un compte de réseau social sur le dark web.
VPNOverview estime le prix moyen pratiqué par les cybercriminels à 11,69 euros. D’autres données sont également à vendre, pour des prix très variables. Ainsi, des données personnelles (nom, adresse, numéro de téléphone, historique de crédit) se monnayent entre 36 et 180 euros.
Des millions de comptes en vente
Les informations d’un passeport britannique grimpent à 675 euros. Toutefois, les pirates ne se cantonnent pas à des données individuelles. De grands volumes, dérobés par exemple après des intrusions informatiques ou des failles de sécurité, s’échangent aussi sur le dark web.
L’étude précise que des millions de comptes sont ainsi proposés à la vente. C’est le cas par exemple de comptes du service MyHeritage. Offre à saisir de plus de 65 millions de comptes pour tout juste 3200 dollars.
Quel intérêt ? Ces comptes peuvent stocker des données personnelles exploitables ensuite pour compromettre d’autres comptes d’internautes ou favoriser des attaques de social engineering. Ceux-ci ont en effet tendance à réutiliser les mêmes identifiants.
La compromission d’un compte peut dès lors avoir des effets en cascade faute de respecter les principes d’une bonne hygiène informatique. Pour l’analyste en cybersécurité David Jansen, ces chiffres visent d’abord à « sensibiliser le public aux dangers du vol d’identité » et à l’informer sur les risques.
Ces chiffres sur la valeur des données sur le dark web sont aussi un rappel pour les entreprises stockant des données personnelles. Les responsables de traitement ont une obligation de sécurisation. Et celle-ci préexistait à l’entrée en vigueur du RGPD.
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » stipule ainsi l’Article 34 de la loi informatique et libertés.
Un assureur condamné par la Cnil pour défaut de sécurité
Le Règlement européen est venu renforcer ces obligations de protection et imposer une notification aux autorités des fuites de données. Les sanctions ont également été revues à la hausse. Les entreprises peuvent se reporter au kit de sécurité de l’ANSSI pour monter en compétence sur ce volet sécurité.
En ce qui concerne les notifications de violation de données, la Cnil en a comptabilisé 1170 en 2018, concernant plusieurs dizaines de millions de personnes en tout (chiffre non dédupliqué). Lors de la présentation de son dernier rapport d’activité, Christophe Vivent, du service d’expertise technologique de la Cnil, précisait que 50% des violations avaient pour cause un acte de malveillance externe.
L’année dernière, sur ces 1170 violations de données signalées à l’autorité de protection, seule une a donné lieu à une mise en demeure. Depuis, la Cnil a toutefois prononcé une sanction de 180.000 euros à l’encontre d’un assureur, Active Assurances.
Cette amende administrative (assortie de la publicité de la sanction) sanctionnait l’entreprise « pour avoir insuffisamment protégé les données des utilisateurs de son site web » et exposé les données de milliers de clients et ex-clients.
Poster un Commentaire