Avertissement sur la forme: cet article provient d’un interview en anglais transcrit automatiquement (et très mal)
Avertissement sur le fond: L’original contenait de nombreuses répétition et des poncifs de niveau débutant, mais il m’a quand même semblé digne d’être publié ici.
Après de nombreuses corrections manuelles, il restait encore à le restructurer et enlever un maximum d’horreurs (merci chatgpt de m’avoir économisé tant de temps) 🙂
Partie 1 : L’économie des données piratéesLes particuliers comme les entreprises sont piratés en permanence.
Des secrets d’entreprise, des numéros de carte de crédit, des mots de passe de messagerie, des informations médicales… même votre identifiant Netflix peuvent être volés.
Aujourd’hui, nous nous penchons en profondeur sur l’économie des données piratées.
Nous évoquerons également Troy Hunt, fondateur du site Have I Been Pwned, un outil qui permet de vérifier si vos données personnelles ont été compromises.
Il existe plusieurs catégories de pirates informatiques :
les groupes sponsorisés par un État, également appelés menaces persistantes avancées ;
les hacktivistes ;
les cybercriminels.
Les pirates informatiques soutenus par un État agissent généralement pour des raisons d’espionnage, de chantage ou d’autres objectifs au service du gouvernement qui les emploie.
Les hacktivistes, eux, s’en prennent à des entreprises ou à des organisations avec lesquelles ils sont en désaccord — par exemple, un fabricant d’armes ou un service de police.
Quant aux cybercriminels, ils sont beaucoup moins sélectifs : ils s’attaquent à tout système duquel ils peuvent extraire des données exploitables, dans le but de les monnayer.
Le sort de vos données dépend surtout de l’identité du pirate.
S’il s’agit d’un groupe soutenu par un État, il est souvent impossible de savoir ce qu’il en advient : ces données disparaissent dans une “boîte noire” gouvernementale.
L’une des plus grandes violations de données de l’histoire a concerné Equifax, l’entreprise chargée de suivre les cartes de crédit et les hypothèques pour établir les scores de crédit.
Des dizaines de millions de profils ont été dérobés, mais ces informations ne sont jamais apparues publiquement en ligne.
Parfois, cependant, les données sont divulguées intentionnellement.
C’est le cas du piratage du Comité national démocrate américain (DNC), attribué à la Russie : tous les courriels du parti ont été publiés en ligne.
L’enquête américaine a conclu que l’un des principaux objectifs de cette attaque était de diffuser les données pour semer le chaos politique aux États-Unis.
Les hacktivistes, eux, volent souvent les données afin de les partager avec les journalistes ou de les publier eux-mêmes.
Le groupe Anonymous, par exemple, a revendiqué des actions contre des entités russes, affirmant vouloir “faire honte” et “déstabiliser” leurs cibles.
Les piratages purement criminels sont sans doute les plus fréquents.
Lorsqu’un pirate pénètre un système, il vole autant de données que possible : numéros de carte de crédit, mots de passe, e-mails, informations médicales…
Ces données sont ensuite vendues ou échangées entre cybercriminels.
Lorsque vous découvrez que votre carte bancaire a été compromise, il est possible que ces informations aient déjà circulé plusieurs fois sur des forums clandestins.
C’est ce type de piratage qui conduit généralement à voir ses données apparaître sur des sites comme Have I Been Pwned.
Certains pirates d’État brouillent d’ailleurs les pistes en menant des opérations de cybercriminalité pour financer leur gouvernement.
La Corée du Nord, par exemple, serait impliquée dans des vols massifs de cryptomonnaies — via des attaques par rançongiciel (ransomware) ou en piratant directement des plateformes d’échange.
Ces fonds serviraient notamment à financer son programme nucléaire.
Les pirates informatiques criminels gagnent de l’argent principalement de deux manières :
en vendant vos données ;
en lançant des attaques par rançongiciel (ransomware).
Le fonctionnement d’un ransomwareUn ransomware est un logiciel malveillant qui permet à un pirate d’accéder à un système, d’en extraire les données, puis de chiffrer tout le contenu, le rendant inutilisable.
Les victimes sont souvent des hôpitaux, des institutions publiques ou des entreprises qui ne peuvent pas se permettre une interruption de service.
« Si vous ne me payez pas, disons 200 bitcoins, je publierai vos données en ligne. »
Lorsque les informations concernées sont médicales ou financières, les conséquences peuvent être particulièrement graves : atteinte à la vie privée, pertes financières, et dommages pour la réputation de l’organisation ciblée.
Une entité victime a généralement deux options :refuser de payer, ce qui conduit souvent à la publication des données et à une longue phase de réparation ;
payer la rançon, une solution que les experts déconseillent fermement, car elle encourage d’autres attaques similaires.
Un exemple marquant est celui de Change Healthcare.
En 2024, l’entreprise a subi une attaque par ransomware et a fini par verser 350 bitcoins (environ 22 millions de dollars) aux pirates.
Malheureusement, un second groupe est parvenu à récupérer les mêmes données et les a publiées en ligne.
Ainsi, malgré le paiement, les informations ont tout de même été divulguées, sans aucun bénéfice réel pour la victime.
Une autre méthode pour les pirates consiste simplement à vendre les données volées.
Mais à quoi cela ressemble-t-il concrètement ?
Les données sont souvent regroupées, mises aux enchères ou vendues en gros sur un immense marché souterrain qu’on appelle le pipeline des données piratées.
Elles apparaissent d’abord dans des réseaux privés de hackers : forums fermés, salons de discussion, groupes Telegram, etc.
C’est une sorte de distribution en gros, où les données circulent entre revendeurs “de confiance”, avant d’arriver sur les marchés du dark web.
Le dark web n’est pas accessible via les moteurs de recherche classiques : pour y accéder, il faut utiliser un navigateur spécial comme Tor Browser, qui garantit l’anonymat et rend difficile toute traçabilité.
Les marchés du dark web fonctionnent comme des plateformes d’échange anonymes où vendeurs et acheteurs peuvent opérer sans craindre d’être identifiés.
C’est ce qui en fait un environnement idéal pour les cybercriminels.
Ironiquement, les données piratées servent aussi à concevoir des outils de protection destinés au grand public.
L’un des plus connus est justement Have I Been Pwned, créé par Troy Hunt.
Cet outil permet à chacun de vérifier si ses adresses e-mail ou comptes figurent dans une base de données compromise.
Troy Hunt explique que les forums où circulent ces données ressemblent à n’importe quel autre espace de discussion :
« Il y a des fils de discussion, des commentaires, des réputations… mais les sujets portent sur le crime et l’échange de données personnelles à des fins lucratives. »
Selon lui, l’adresse e-mail est le type de donnée le plus répandu dans les bases piratées, suivie par les mots de passe (souvent hachés, donc partiellement protégés), puis les noms, numéros de téléphone et adresses physiques.
Mais certaines bases contiennent des données bien plus sensibles :
documents d’identité, informations médicales, voire détails intimes comme ceux révélés lors du piratage du site Ashley Madison.
Il existe aujourd’hui des dizaines de marchés spécialisés dans la vente de données volées.
Parmi les plus connus figurent STYX Market, Brian’s Club, Russian Market ou BidenCash.
Certains de ces sites recensent des dizaines de milliers d’annonces, mêlant la vente de données personnelles à celle de drogues, articles contrefaits ou outils de piratage.
Les tarifs varient selon la nature et la valeur des données.
Par exemple :
les détails d’une carte de crédit avec un solde d’environ 5 000 dollars peuvent se négocier autour de 110 dollars ;
un compte Netflix peut se vendre moins de 10 dollars ;
les données de plus grande valeur, comme les secrets industriels ou les accès à des serveurs d’entreprises, sont souvent mises aux enchères au plus offrant.
Ces marchés sont généralement contrôlés par des groupes basés dans des pays sans traité d’extradition avec les États-Unis, comme la Russie ou la Chine, ce qui rend toute poursuite judiciaire extrêmement difficile.
Les transactions se font presque exclusivement en cryptomonnaie, un moyen de paiement difficile à tracer, bien plus qu’une carte de crédit ou qu’un compte PayPal.
Une fois vendues, ces informations servent à toutes sortes de fraudes.
Les cybercriminels les exploitent pour :
le vol d’identité,
la prise de contrôle de comptes en ligne,
la fraude bancaire ou médicale,
ou encore l’extorsion.
Les identifiants et mots de passe volés sont souvent réutilisés dans une pratique appelée credential stuffing.
Cela consiste à essayer automatiquement un couple adresse e-mail / mot de passe sur une multitude de sites ou de services différents, dans l’espoir que la victime ait réutilisé le même mot de passe.
Cette méthode, bien que simple, reste terriblement efficace.
Ainsi, si un pirate achète les identifiants associés à votre adresse e-mail, il peut s’en servir pour :
accéder à vos comptes de réseaux sociaux et contacter vos proches pour leur soutirer de l’argent ;
ou, pire encore, pénétrer dans votre compte bancaire et transférer vos fonds.
Vos informations personnelles peuvent aussi être utilisées pour :
ouvrir des comptes frauduleux,
contracter des prêts,
commettre des fraudes fiscales,
obtenir des médicaments sur ordonnance grâce à des usurpations d’identité médicale.
Et ce n’est pas tout : une fois publiées en ligne, vos données peuvent être vendues, revendues et réutilisées plusieurs fois, souvent par des pirates différents.
Le pirate qui a initialement volé vos informations n’est pas nécessairement celui qui effectuera des dépenses frauduleuses à votre nom.
Même les données les plus anodines — comme votre nom, votre adresse e-mail ou votre numéro de téléphone — peuvent être exploitées pour des attaques de phishing.
Dans ce type d’escroquerie, des criminels envoient des liens piégés par SMS ou par e-mail afin d’inciter les victimes à télécharger des logiciels malveillants ou à fournir d’autres informations sensibles.
En résumé, toute fuite de données, même mineure, peut être exploitée.
Un simple numéro de téléphone peut suffire à placer une personne sur une liste d’escrocs, qui tenteront ensuite de la manipuler via des messages frauduleux.
Une menace qui évolue sans cesse
Selon Troy Hunt, les types de données volées et les méthodes d’attaque ont considérablement évolué au fil des années.
Au début des années 2010, lors des piratages de LinkedIn ou Dropbox, les mots de passe étaient souvent mal protégés, avec des algorithmes de hachage aujourd’hui jugés obsolètes.
Depuis, les entreprises ont renforcé leurs systèmes, mais les vecteurs d’attaque ont eux aussi changé.
Au fil du temps, de nouvelles failles sont apparues à mesure que certaines technologies gagnaient en popularité :
bases de données MongoDB laissées ouvertes, buckets Amazon S3 mal configurés, ou encore instances Elasticsearch exposées.
Chaque période a vu émerger son propre type de vulnérabilité.
Et malgré les progrès, le constat demeure alarmant : des millions d’adresses e-mail et de données personnelles continuent d’apparaître dans des fuites chaque jour.
Une fatigue généralisée face aux fuites de donnéesSelon Hunt, le public a développé une forme de lassitude face aux violations de données.
Beaucoup de consommateurs réagissent avec indifférence — jusqu’à ce qu’ils soient eux-mêmes touchés, perdent de l’argent ou subissent un véritable préjudice.
Du côté des entreprises, la tendance est à la discrétion.
De nombreuses organisations divulguent de moins en moins d’informations, de peur d’alimenter des recours collectifs.
Il n’est pas rare qu’une action en justice soit engagée dès le lendemain d’une fuite importante, quel qu’en soit l’impact réel sur les individus concernés.
Par précaution, certaines sociétés préfèrent limiter au maximum la transparence sur l’ampleur et la nature des violations.
Heureusement, il existe plusieurs moyens de se prémunir contre ces risques.
Changez immédiatement vos mots de passe
Si vous apprenez qu’une de vos données a été compromise, remplacez sans attendre votre mot de passe, et évitez de le réutiliser ailleurs.
Le mieux reste d’utiliser un gestionnaire de mots de passe : il vous permettra de générer des combinaisons uniques, complexes et difficiles à deviner pour chaque site ou application.
Surveillez vos informations financières
Si des données personnelles sensibles (comme votre numéro de sécurité sociale ou vos coordonnées bancaires) ont été volées, pensez à geler votre crédit.
Cela empêche l’ouverture de nouveaux comptes à votre nom.
Souscrivez également à un service de surveillance du crédit, afin d’être averti en cas d’activité suspecte.
Activez l’authentification multifacteur (MFA)
Chaque fois que c’est possible, activez la vérification en deux étapes.
Utilisez de préférence un outil de confiance comme Google Authenticator ou une clé physique de sécurité (YubiKey) plutôt que la vérification par SMS, moins sécurisée.
Choisissez des entreprises fiables
Préférez les sites et applications provenant d’organisations reconnues pour leurs bonnes pratiques de cybersécurité.
Cela réduit les risques de fuite à la source.
La vérité, c’est que si vos données n’ont pas encore été volées, elles le seront probablement un jour.
Mais cela ne signifie pas que vous ne pouvez rien faire.
Chaque mesure préventive — mot de passe fort, authentification renforcée, surveillance de vos comptes — réduit les dommages potentiels en cas d’incident.
Même si une fuite est ancienne, ses données peuvent encore circuler et être exploitées à tout moment.
C’est pourquoi il reste essentiel de rester vigilant et proactif.
La cybercriminalité est devenue une industrie mondiale, complexe et persistante.
De la vente de vos identifiants à l’exploitation d’informations médicales, les pirates savent transformer n’importe quelle donnée en source de profit.
Mais en comprenant leur fonctionnement et en adoptant de bonnes pratiques, chacun peut considérablement réduire son exposition.
Restez prudent, protégez vos informations, et gardez le contrôle de vos données.
Source (bonne change pour la lecture): https://www.wired.com/video/watch/incognito-mode-following-your-stolen-data-through-the-dark-web
