Les données personnelles de 1,4 million de Français en vente sur le dark web

par Cédric INGRAND
Publié le 3 juin 2019 à 17h31

Source : Sujet JT LCI

PIRATAGE - Noms, adresses, téléphones, mais aussi accès aux comptes mails de milliers de français : tout ceci est disponible pour 2 à 4 euros l'unité dans des supermarchés virtuels bien cachés mais très professionnels. Seuls points communs des victimes : avoir été les clients de 200 des plus grands sites français de e-commerce et avoir manqué de prudence dans la gestion de leurs mots de passe.

Tous les spécialistes connaissent l'existence de ces supermarchés des données piratées, là où s'échangent identifiants, cartes bancaires ou faux comptes par milliers. Des sites à trouver sur le dark web et dans lesquels on ne rentre souvent que par invitation. Parmi tous ceux-là, il y en a un, que l'on ne nommera pas, l'un de ceux que visitent régulièrement nos confrères de Zataz, un site spécialisé dans la cybersécurité. Des visites d'acheteur-mystère pour garder un œil sur les données qui s'y échangent et observer l'évolution d'un commerce forcément particulier.

"On se croirait chez eBay", explique à LCI Damien Bancal, le fondateur de Zataz. "Les gars font de la publicité, affichent la qualité des données qu'ils vendent. Les acheteurs mettent des étoiles sur leurs articles préférés. Tout ceci est devenu très professionnel." Surtout, là où pendant longtemps ces sites vendaient des fichiers bruts, aujourd'hui, le marché noir joue sur la qualité et la valeur ajoutée. Témoin, ce fichier rassemblant 1,4 million de coordonnées d'internautes français, un fichier très renseigné, avec des adresses physiques et même souvent les identifiants et mot de passe des comptes mail des victimes. Coût par compte : entre deux et quatre euros, selon le niveau de détail et la fraîcheur des données détournées... et donc de leur potentiel pour des achats frauduleux ou du vol d'identité. 

Auchan, Conforama, Louis Vuitton, Zalando et 200 autres

Le point commun de tous ces comptes : ils ont été utilisés pour effectuer des achats sur des sites français d'e-commerce, dans tous les domaines, de l'alimentation au luxe, en passant par le high-tech et la pièce détachée automobile. Pour autant, ce n'est pas en piratant ces sites que le fichier a été construit. "Dans 90% des cas", précise Damien Bancal, "c'est du phishing qui a permis de récupérer des identifiants de ces utilisateurs", des mails frauduleux vous demandant vos identifiants pour valider une commande ou profiter d'une promotion imaginaire. 

Mais le procédé ne s'arrête pas là. Une fois munis de vos identifiants, les criminels peuvent aller les tester sur des centaines d'autres grands sites pour mettre à jour les comptes qui utiliseraient le même mot de passe partout.

Quand les pirates agrègent vos données

Le saint-Graal de ce genre de recherche, c'est votre compte mail, celui qui contrôle tous les autres. Et pour cause : c'est au travers de lui qu'un pirate peut faire modifier les mots de passe sur d'autres sites ou ouvrir de nouveaux comptes en votre nom,  tout en masquant ses traces, en effaçant mails d'alerte ou de confirmation. Surtout, toutes ces nouvelles informations viennent enrichir votre profil.

Loin du fichier brut, le site permet ainsi de rechercher des cibles précises : on peut viser une ville, un code postal, les utilisateurs d'un fournisseur d'accès en particulier -au travers de leur mail- ou les clients d'un e-commerçant précis. "La boutique est entièrement automatisée", détaille Damien Bancal, "et les affaires marchent bien, rien qu'hier (dimanche 2 juin), ils ont eu 4000 clients. Et encore, ce ne sont pas les meilleurs, je connais un site russe qui permet de tester des identifiants sur 9000 sites au total".

Seule parade : un mot de passe unique par site

Seul moyen aujourd'hui de savoir si votre mail ou vos coordonnées ont été compromises : acheter le fichier des pirates, une mauvaise idée pour toutes sortes de raisons. En revanche, quelques moyens simples peuvent vous éviter de finir dans un tel fichier. D'abord, et cela vaut d'être répété : n'utilisez jamais le même mot de passe sur deux sites différents, surtout si l'un d'entre eux est votre mail. À défaut, celui qui arriverait à trouver un mot de passe pourrait compulser votre vie numérique à livre ouvert. Sur tous vos comptes importants, tous ceux qui définissent votre identité ou gèrent des données sensibles (mail, comptes bancaires, réseaux sociaux), utilisez l'identification à deux facteurs : à chaque connexion sur un matériel inconnu, le système vous demandera une seconde validation, par toutes sortes de moyens. 

Enfin, pour gérer tous vos mots de passe désormais uniques, utilisez un gestionnaire comme Dashlane, OnePassword, ou LastPass -beaucoup ont des versions gratuites. Aucune de ces parades ne vous protégera à coup sûr de toutes les attaques. Mais comme une porte un peu blindée qui pousserait un cambrioleur à tenter sa chance chez un voisin moins bien protégé, ces quelques protections combinées vous feront sortir de votre probable statut actuel : celui de victime idéale.


Cédric INGRAND

Tout
TF1 Info