•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Combien valent vos données personnelles sur le dark web?

Une main tenant un sac d'argent sort d'un écran d'ordinateur.

Les données volées ont une valeur marchande et peuvent servir aux acteurs malveillants, qui les vendent et les achètent dans les recoins du web.

Photo : Radio-Canada / Émilie Robert

Nicholas De Rosa

Desjardins, Capital One, Cambridge Analytica... Les scandales liés à la protection des données personnelles se multiplient ces dernières années et nos informations sont plus convoitées que jamais. Certains banalisent la situation. « Je n'ai rien à cacher », entend-on souvent. Pourtant, les risques sont sérieux, et vos données ont une valeur marchande dans les recoins du web.

Le chef de la cybersécurité aux Commissionnaires du Québec, Jean-Philippe Décarie-Mathieu, connaît bien cette facette du monde interlope. Voici ses réponses à nos questions sur le sujet.

Ce texte est le premier d'une série d’entrevues avec des experts en cybersécurité sur des enjeux qui vous préoccupent. Vous avez une question à leur poser? Laissez-nous un message dans les commentaires au bas de l'article.

Radio-Canada Techno : Où se vendent les données personnelles sur le web?

Jean-Philippe Décarie-Mathieu : Ça se fait sur des cryptomarchés accessibles sur les darknets, donc dans des parties cachées du web. On trouve sur ces marchés de l’information volée, des cartes de crédit fraudées, des outils de hacking, de la drogue, des armes et plus. Il existe plusieurs marchés de différentes tailles, un des plus connus étant BerlusconiMarket.

Dans le fond, ces sites sont comme un eBay du crime électronique. Les vendeurs ont des profils et une réputation, ils montrent des fiches de produits. Tu cherches ce que tu veux acheter, et tu as toi-même une réputation en tant qu’acheteur. On paie le vendeur d’une manière qui est difficilement traçable, généralement en utilisant une cryptomonnaie comme bitcoin ou Litecoin.

Quel genre de données personnelles peut-on acheter?

Il y a de tout. On peut par exemple acheter des fullz, un dossier qui représente en quelque sorte l’identité numérique ou l’entièreté des dossiers personnels de quelqu’un.

Il n’y a pas de définition exacte d’un fullz, mais généralement, on parle d’une date de naissance, d’un numéro d’assurance sociale, d’une adresse, d’un numéro de téléphone… Bref, tout ce qui permet de voler l’identité de quelqu’un.

La valeur des fullz a énormément baissé. Il y a deux ans, ça valait environ 800 $ US. L’an dernier, c’était en dessous de 600 $ et présentement, le prix tourne autour de 150 $.

Il y a tellement de fuites de données et d’informations personnelles accessibles sur le web que les prix chutent drastiquement. C’est l’offre et la demande, mais ça reste très peu cher pour une solution clés en main de vol d’identité.

On peut aussi acheter des accès à des comptes de courriel GMail, Yahoo et autres. Ça se vend pour environ 3 dollars américains et c’est aussi considéré comme des fullz, mais plus en matière d’identité numérique. Il y a beaucoup d’informations personnelles là-dedans : on y trouve toutes les communications des gens depuis souvent des années, et tous leurs mots de passe peuvent être réinitialisés à partir de leur compte.

Des prix de données personnelles en dollars américains

Fullz : 50-150 $ (très variable selon la cote de crédit)

Courriel et mot de passe Gmail : 3 $

Accès à un site web bancaire : 100 $

Numéro de carte de crédit avec code CVV : 60 $

Permis de conduire : 400-500 $ pour un permis d'un État américain (moins cher pour les autres pays)

Passeport canadien : 2000 à 5000 $, aussi peu que 15 $ pour un scan

Carte d’assurance maladie du Québec : 200 $

Nouvelle identité complète (incl. documents, etc.) : 46 000 $

* Les prix fluctuent selon les marchés, les vendeurs, la demande et d'autres facteurs. Ces chiffres ne sont que des estimations.

Concrètement, on peut faire quoi avec mes données?

Toutes sortes d’activités criminelles. Commander un téléphone cellulaire pour faire des transactions de drogue illicite, faire une demande pour une carte d’identité qui requiert plus ou moins de vérification... Il y a plein de raisons pour lesquelles les gens se créent une fausse identité.

C’est rare de voir des cas extravagants, comme se faire coller une hypothèque sans le savoir, parce que les compagnies de carte de crédit ont des bons systèmes pour la fraude, bloquent les cartes et remboursent rapidement les victimes.

Souvent, les gens vont ouvrir des nouveaux comptes de cartes de crédit pour acheter des choses, par exemple 200 cartes prépayées Amazon qui sont ensuite revendues ou utilisées. Une fois que le fraudeur se rend au magasin et achète les cartes, la compagnie de crédit remarque que c’est une fraude et désactive la carte de crédit.

Le fraudeur a maintenant 200 cartes-cadeaux Amazon, et pour qu’il se fasse prendre, il faudrait que la compagnie de crédit parle à Amazon pour savoir où il a acheté les cartes, trouver dans quel dépanneur il les a achetées, appeler le dépanneur pour regarder les caméras et voir à quoi ressemble le fraudeur…

Ça marche bien parce que ça se passe dans différents pays, et on ne va pas faire appel à Interpol pour chaque vol de 200 cartes-cadeaux Amazon.

Même juste mon courriel et mon mot de passe, c’est risqué?

Il y a un an, plein de gens ont reçu un courriel qui leur disait qu’on les avait vus se masturber devant leur webcam. Le message montrait leur mot de passe et disait que s’ils n’envoyaient pas X nombre de bitcoins, on enverrait à toute leur famille des enregistrements d’eux en train de se masturber. On appelle ça de la sextorsion.

Deux groupes criminels en Europe de l’Est ont fait des dizaines de millions de dollars avec ça, et toutes les informations qui ont servi à monter ce stratagème provenaient de fuites publiques. Ils ont réussi à créer un modèle de courriel qu’ils ont pu automatiser et ils l’ont envoyé à des millions de personnes en achetant simplement des listes d’adresses courriel avec des mots de passe. C’est simple et c’est super efficace.

Nos données sensibles peuvent-elles être utilisées d’autres façons?

Prenons par exemple une hypothétique fuite de données d’une banque. L’historique de transactions des gens, c’est de l’information qui parle. Si je suis un ex frustré et que je sais que mon ex est dans cette fuite-là, je peux me servir de ces données comme des munitions contre elle.

J’ai vu ça très souvent, des gens qui espionnent leurs ex, quand j’étais à Crypto.Québec. On recevait au moins un courriel par semaine d’une femme qui nous rapportait ça. C’est plus répandu qu’on pense, et je dirais même que c’est un très gros problème.

Si je veux cibler une personne, il y a plein d’information nominative que je peux utiliser contre elle, que ce soit 10 ans de courriels, de l’historique de navigation, ou autre chose comme son inscription à Ashley Madison, le site de rencontres extraconjugales qui a fait l’objet d’une fuite de données en 2016.

Aussi, je ne sais pas pourquoi on n’entend pas trop parler des dossiers médicaux. Dans l’industrie de la santé, les menaces internes, c’est-à-dire des employés qui sortent de l’info à grande pelletée, sont un problème important. Il y a eu plusieurs fuites comme ça aux États-Unis, et ça peut aussi servir à l’extorsion.

L’information médicale, c’est de l’information très sensible. Ça en dit beaucoup sur nous, sur notre famille et sur nos habitudes de vie. C’est de l’information qui peut être utilisée contre nous et sur laquelle on n’a aucun contrôle.

Le grand drame du 21e siècle est que toutes ces données-là, toutes mises ensemble, peignent un portrait très détaillé de quelqu’un. 

Est-ce que des données de base comme le nom, la date de naissance, l’adresse physique et l’adresse courriel d’une personne valent quelque chose?

Monétairement, ça ne vaut rien parce que ça se trouve dans plein de fuites de données des dernières années qui sont accessibles gratuitement. Il y en a tellement eu que des informations qui sont sensibles, mais non confidentielles sont extrêmement faciles à obtenir.

Ce n’est pas ça qui est vendu sur les cyptomarchés, à moins que ce soit, disons, 150 millions d’enregistrements provenant de plusieurs fuites, toutes mises ensemble dans un package deal. On peut facilement créer sa propre base de données comme celle-là, par contre.

Les données personnelles des Canadiens valent-elles plus que celles d’autres pays?

Elles valent moins que celles des Américains, mais tout ce qui est occidental vaut plus que ce qui est oriental. C’est dommage, mais si tu fais affaire avec quelqu’un en Inde, les gens penseront que c’est une arnaque pour plein de raisons et à cause de plein de préjugés.

Et si on parle de documents, c'est une autre histoire. Un passeport américain vaut plus qu’un passeport nicaraguayen. C’est un peu un reflet du statut de la strate géopolitique du vrai monde qui se transpose là-dedans. Si c’est juste des accès, on s’en fout plus.

Est-ce qu’on prend la vente de données personnelles assez au sérieux?

Je dirais que la valeur des données personnelles et l’importance de leur sécurisation ne sont pas prises au sérieux par tout le monde alors que ça devrait l’être.

Ça dort au gaz au gouvernement. Personne ne comprend les enjeux, et même dans la société civile, personne ne prend ça au sérieux quand les données de dizaines de milliers de personnes ont fuité.

C’est toujours l’histoire duje n’ai rien à cacher. Ça ne change rien si on a une vie de comptable ou non; le problème, c’est qu’on n’a aucun contrôle sur nos données.

Les citations ont été éditées à des fins de clarté et de précision.

Cybersécurité

Techno