Rapport : le marché noir en ligne des données personnelles est florissant [FR]
Les informations relatives aux cartes de crédit et aux comptes bancaires sont les articles les plus vendus sur le marché noir en ligne. C’est ce que conclut un rapport publié par Symantec, l’entreprise multinationale de sécurité en ligne.
Les informations relatives aux cartes de crédit et aux comptes bancaires sont les articles les plus vendus sur le marché noir en ligne. C’est ce que conclut un rapport publié par Symantec, l’entreprise multinationale de sécurité en ligne.
Les informations relatives aux cartes de crédit représentaient 32% des données disponibles illégalement en ligne en 2008, contre 21 % de 2007. Le nombre de justificatifs d’identité pour comptes bancaires disponibles à la vente a grimpé de 17 % à 19 % dans le même intervalle, selon le rapport annuel de Symantec sur la sécurité sur Internet.
L’économie souterraine en ligne fonctionne par des sites web, ou plus souvent via des discussions en ligne (chats), où des informations personnelles de toutes sortes sont vendues à des prix abordables. Symantec a calculé que des informations sensibles relatives à une carte de crédit et son titulaire coûtent à peine 6 centimes de dollars (4,50 centimes d’euro) et atteignent un maximum de 30 dollars (22,80 euros). Les prix dépendent de la précision de l’information fournie, ce qui peut inclure les codes PIN et les mots de passe, en plus des « traditionnels » numéros de carte de crédit, date d’expiration et données relatives au titulaire.
Les acheteurs peuvent se servir de ces informations pour procéder à des achats frauduleux sur Internet. On peut lire dans le rapport que le shopping en ligne peut être rapide et facile, et la conclusion d’une vente ne requiert souvent que des informations de base sur la carte de crédit. Quelqu’un d’assez averti pourrait potentiellement faire de nombreuses transactions avec une carte volée avant que l’activité suspecte soit détectée et la carte suspendue.
De plus, les cartes de crédit sont vendues au marché noir en ligne par paquets de 100 à 5 000 cartes volées. Cela accroît la probabilité qu’un acheteur illégal profite des cartes et minimise les pertes dues à des cartes retirées de la circulation ou avec des numéros et codes d’accès modifiés.
Symantec explique que les organisations criminelles qui opèrent sur Internet sont aussi capables de produire des cartes de crédit neuves, grâce aux données volées, permettant ainsi aux acheteurs de réaliser des achats illégaux dans de véritables magasins.
Bien que des systèmes de sécurité nouveaux et plus efficaces soient appliqués par les sociétés de cartes de crédit, le risque de telles fraudes explose en même temps que l’utilisation des cartes de paiement.
En effet, les Etats-Unis sont à la fois le pays avec le plus grand nombre de cartes en circulation (1,3 milliard de cartes, une moyenne de plus de quatre par personne), et l’épicentre des sites de discussions en ligne illégales ou de sites vendant des cartes volées. En comparaison, les pays européens sont très en retard.
Les détails relatifs aux cartes bancaires coûtent plus cher sur le marché noir en ligne, avec des prix variant de 10 à 1 000 dollars (7,50 à 757 euros). Les comptes d’entreprise sont les plus visés, en raison du renouvellement plus rapide de leur capital. Au-delà des retraits directs, les comptes en banque peuvent aussi servir comme canaux intermédiaires pour laver de l’argent sale ou financer d’autres comptes monétaires en ligne qui n’acceptent que les virements bancaires pour les paiements, explique le rapport.
Pour réunir ces informations, les pirates utilisent plusieurs techniques, telles que le filoutage (phishing), la copie de piste magnétique (skimming) (EURACTIV 29/04/08) et l’introduction dans les bases de données. Le filoutage est le plus répandu. Il consiste à attirer des utilisateurs vers des faux sites web imitant le site original de la société, en particulier les institutions financières (dans 79% des cas). En réponse à des demandes factices, les utilisateurs révèlent leurs données personnelles, qui sont dès lors utilisées dans l’économie souterraine.
Les Etats-Unis sont le premier hébergeur mondial de sites illégaux servant au filoutage (43% du total), suivis par la Pologne (6%, contre 1% en 2007). Symantec a détecté plus de 55 000 sites de filoutage à travers le monde en 2008, soit une augmentation de 66% par rapport à 2007. Cette tendance nette est aussi le résultat de la disponibilité toujours plus grande de « boîtes à outils » automatisées pour le filoutage, qui sont aisément disponibles sur le marché noir et permettent aux pirates amateurs de mettre sur pieds des sites illégaux sans efforts.
Le rapport explique enfin que, parmi les cibles favorites, viennent en second lieu les fournisseurs de services Internet, qui conservent des données relatives aux courriels. Les pirates peuvent avoir accès aux boîtes électroniques personnelles, et aux informations sensibles qui y sont contenues, dont les mots de passe et les codes. En effet, les comptes de courrier électronique sont le troisième produit le plus vendu sur le marché noir en ligne.
