Comment les forces du marché déterminent la valeur des informations d'identification

Version imprimable, PDF et e-mail

Un tarif, peu importe la nature de l'article vendu, est toujours déterminé en fonction de l'offre et de la demande. En revanche, lorsqu'il s'agit d'identifiants vendus sur le dark Web, certains peuvent valoir beaucoup plus que d'autres.

Comparitech, une société spécialisée en sécurité informatique, indique dans un rapport que le prix moyen d'un ensemble d'identifiants piratés aux États-Unis est de 8 $ chacun, tandis que ceux volés au Japon ou dans les Émirats arabes unis peuvent atteindre 25 $ chacun. La recherche a porté sur les données de 40 sites du dark Web différents.

Parmi les informations personnelles exploitées par les cybercriminels pour usurper l'identité des internautes, le rapport a identifié un ensemble complet comprenant des numéros de sécurité sociale et autres numéros d'identification nationaux, des noms, dates de naissance, adresses, numéros de téléphone, numéros de comptes bancaires et autres.

Le rapport révèle que le prix des cartes bancaires peuvent aller de 0,11 $ à 986 $, tandis que celui d'un compte PayPal piraté est compris entre 5 $ et 1 767 $. Le plafond de crédit moyen d'une carte bancaire représente 24 fois le prix de la carte, tandis que le solde moyen d'un compte PayPal piraté est de 32 fois son prix sur le dark Web. Évidemment, des remises sont appliquées en fonction du volume acheté. Dans le cadre de ce que l'on appelle un « dump », les données de cartes bancaires piratées peuvent être achetées en masse pour la moitié du coût d'un seul numéro de carte.

Depuis des années, les identifiants sont volés individuellement et en masse dans le cadre d'attaques de « credential stuffing » concernant un grand nombre de combinaisons de noms d'utilisateur et de mots de passe volés aux fournisseurs d'applications et de services en ligne. Au fil du temps, les cybercriminels se sont perfectionnés dans le regroupement de données disparates afin de créer un ensemble complet d'identifiants permettant de commettre tout un éventail d'actes frauduleux. Le prix de ces identifiants reflète la facilité avec laquelle il est possible de les obtenir. 8 $ pour un ensemble complet d'identifiants américains laisse penser que la quantité d'identifiants disponibles sur le dark Web est probablement colossale.

Plus troublant encore, les cybercriminels arrivent de mieux en mieux à déterminer le mot de passe d'un compte en se basant sur les mots de passe qu'ils ont pu associer à un nom d'utilisateur spécifique. Sous peu, ils utiliseront des algorithmes de machine learning pour détecter des modèles de mots de passe qu'ils pourront ensuite utiliser sur n'importe quel site Web reconnaissant un nom d'utilisateur donné. Comme pour tout type d'utilisation impliquant des algorithmes de machine learning, plus le nombre de données d'identifiants collectées est important, plus les algorithmes sont pertinents.

On s'aperçoit de plus en plus que les noms d'utilisateur et les mots de passe ne sont pas un outil de sécurité et de protection de la vie privée suffisant. Les entreprises ne seront peut-être pas en mesure de s'en passer dans un avenir proche, mais la plupart d'entre elles devraient l'envisager.

Entre-temps, les professionnels de la cybersécurité devraient garder un œil sur les tarifs appliqués sur le dark Web pour les différents types d'identifiants. Après tout, le prix que les gens sont prêts à payer pour obtenir des données volées est le meilleur indicateur de ce qu'il faut absolument protéger.

   

 

Remonter en haut de page
Tweeter
Partager
Partager