Si les médias se font de plus en plus l'écho des menaces informatiques auprès du grand public, les conséquences de ces dernières restent dans l'esprit de beaucoup, cantonnées à des problèmes informatiques (infection d'un ordinateur entrainant des pertes de performances ou des pertes de données). Hors, nous savons depuis quelques années que les conséquences sont parfois plus lourdes, avec notamment le vol de données personnelles.
L'explosion du Black Market
L'explosion des logiciels malveillants (à peine 5.000 en 2007, 40.000 en 2009 et environ 60.000 en 2010) a permis le développement tout aussi rapide du Black Market numérique (un marché noir dédié aux nouvelles technologies).
Une récente étude de la société Panda Security, "The Cyber-Crime Black Market: Uncovered", publiée début 2011, décortique les mécanismes de ce marché parallèle, notamment une classification des acteurs et de leur rôle, ainsi que les processus de vente des produits et services associés.
A titre d'exemple, voici quelques chiffres relatifs aux prix des produits et services sur ce marché :
- Données d'une carte de crédit : de 2 à 90 dollars (numéro de carte et date d'expiration, ainsi que les nom, adresse, numéro sécurité sociale et date de naissance du titulaire).
- Carte de crédit vierge : à partir de 190 dollars pour une commande minimum de 5 cartes (plastique blanc ou impression couleur) avec hologramme bancaire et piste magnétique. Vous devrez acheter en complément les données présentées plus haut.
- Copieur/Duplicateur de cartes physiques : de 200 à 1.000 dollars suivant les modèles.
- Vrai-faux distributeur bancaire : jusqu'à 35.000 dollars. Vous pouvez également opter pour un module "Skimmer" à intégrer à un distributeur officiel et permettant la copie de pistes magnétiques.
- Identifiants bancaires : pour une somme allant 80 à 700 dollars, vous pouvez disposer d'identifiants de connexions aux services d'une banque en ligne (nom d'utilisateur, mot de passe et réponses aux questions de sécurité). Les comptes vendus sont garantis avec un solde positif.
- Blanchiment de transferts bancaires : de 10 à 40% du montant total "nettoyé".
- Identifiants pour plates-formes de paiement : pour une somme allant de 80 à 1.500 dollars, des identifiants de connexions à un service de paiement rapide (exemple: PayPal) vous sont fournis avec une garantie de solde positif. Les comptes à solde positif non garantis se négocient autour de 10 dollars seulement.
- Vrai-faux site marchand : les prix sont ici en fonction de votre projet et incluent la conception du site, son développement et sa mise en ligne.
- Commande et livraison de produits : une commission de 30 à 300 dollars est ici demandée pour assurer la commande (à vous de fournir les données bancaires à utilisées) et la livraison de produits achetés en ligne.
Les réseaux sociaux ne sont qu'une menace secondaire
Comme cela a été évoqué plus haut, la principale source d'informations du Black Market est constituée du vol d'informations au travers de logiciels malveillants, couplée éventuellement avec le vol de données de manière physique.
Néanmoins, il est intéressant de se poser la question concernant un certain nombre d'informations disponibles sur le Black Market, qu'il s'agisse des numéros de sécurité sociale ou des dates de naissance par exemple.
Les réseaux sociaux sont aujourd'hui souvent montrés du doigt car ils centralisent de nombreuses informations sur les utilisateurs et cristallisent ainsi les peurs. Beaucoup d'utilisateurs des réseaux sociaux sont en effet peu soucieux de la confidentialité des données et s'aperçoivent incrédules que le nom de leurs enfants, de leur chien ou leur lieu de domicile sont accessibles à tout un chacun.
Les agrégateurs de données personnelles sont également avertis, comme le rappelle la CNIL qui vient d'adresser un "Carton rouge pour les Pages Jaunes" : "[la CNIL] a considéré que l’aspiration de ces informations sur les sites des réseaux, à l’insu des personnes concernées, était déloyale et donc contraire à la loi Informatique et Libertés".
Un risque également alimenté par la multiplication des données administratives en ligne
En dehors du poste utilisateur, si les réseaux sociaux ne sont pas les principaux conteneurs d'informations, où se trouvent les informations ? Il est théoriquement possible de collecter des informations sur les sites web personnels ou les petites annonces, mais cela ne représente qu'une infime partie de la collecte.
En revanche, la multiplication ces dernières années des bases de données administratives en ligne, participe fortement à l'exposition de données fortement personnelles. Si ces données sont publiques du point de vue de l'administration, leur consultation sur Internet a permis de réduire les temps de consultation (il n'est plus utile de se rendre à un guichet de l'administration) et d'augmenter la volumétrie de consultation (la recopie d'un microfilm sur un carnet papier étant nettement moins rapide qu'une copie d'écran).
Si de nombreuses organisations sont vigilantes quant aux données personnelles des internautes dans leur ensemble, elles n'ont que peu de marge de manœuvre sur le contrôle des données relatives aux chefs d'entreprises. Ainsi, parce qu'un certain nombre de ses informations personnelles sont rendues publiques, et parce qu'il est souvent assimilé à une source de richesse, le chef d'entreprise se retrouve particulièrement exposé.
Exemple au travers d'un commerçant de proximité
Afin d'illustrer le propos, je me suis livré à un exercice de collecte d'informations selon les contraintes suivantes :
- collecter des informations sur un chef d'entreprise dont l'activité est locale
- n'accéder qu'à des informations publiques, légales et gratuites
- ne pas utiliser de données issues des réseaux sociaux
- optimiser le coût temps de recherche / richesse de l'information
Etape 1: à la suite d'un achat avec une carte bancaire, vous êtes en possession d'un "ticket client" sur lequel apparait clairement le nom de la banque du commerçant ainsi que la raison sociale de son établissement.
Etape 2 : une rapide recherche sur un site d'informations sur les entreprises nous dévoile rapidement les noms, prénoms, date de naissance et lieu de naissance des dirigeants.
Etape 3 : une recherche élargie sur les annuaires téléphoniques en ligne, en partant du lieu du commerce, nous révèle généralement l'adresse et le numéro de téléphone personnels de ces mêmes dirigeants.
Etape 4 : certains sites spécialisés (non détaillés ici) vous permettront également d'obtenir des adresses supplémentaires comme les résidences secondaires éventuelles.
En moins de 30 minutes, les informations collectées (hors réseaux sociaux), de manière légales et gratuites, sont certes peu nombreuses mais assez sensibles.
Quand la collecte d'informations publiques rejoint le Black Market
Pour les motifs évoqués plus haut, le chef d'entreprise est donc une cible particulière pour le Black Market. La nature des informations publiques le concernant couplée à l'étendue des offres disponibles sur le Black Market permettent de déterminer rapidement et au plus juste l'utilisation de ressources frauduleuses.
Les combinaisons possibles entre les informations recueillies et leur utilisation via des services illégaux ne seront naturellement pas détaillées dans cet article mais le lecteur amateur de romans policiers et autres films d'espionnage trouvera sans doute dans ces derniers des éléments de réponse.
Avertissement
Cet article n'a pas pour objectif de promouvoir les activités liées au Black Market, ni d'inciter les lecteurs à des activités illégales. Il s'inscrit dans une démarche d'information et son auteur ne saurait être tenu responsable de préjudices, matériels ou moraux quels qu’ils soient, découlant de l’utilisation ou de la non-utilisation des informations présentées.
© Maxim_Kazmin - Fotolia.com
Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.