Le marché noir lucratif du vol de données
Vade Experts
—13 février 2024
—4 min de lecture
À l’ère du tout numérique, les données valent de l’or. Mais comme tout ce qui a de la valeur, elles sont également un point faible des entreprises. Le vol des données, à savoir l’extraction non autorisée d’informations, pose en effet des risques pour les entreprises de toutes les tailles. Entre pertes financières considérables et interruption des activités, sans parler des actions en justice et des amendes réglementaires, le vol des données est lourd de conséquences pour les entreprises. Ce serait toutefois une erreur de croire qu’elles sont les seules concernées par ce problème : il touche au contraire tous les acteurs de l’écosystème, y compris les consommateurs.
Dans cet article, les analystes de Vade vous emmènent en coulisses pour vous faire découvrir comment des acteurs malveillants commercialisent des données personnelles.
Violation de données : la première étape du vol de données
Pour qu’il y ait vol de données, il faut d’abord une faille par laquelle s’engouffrer. La violation de données désigne l’accès non autorisé à des informations confidentielles par un tiers, ainsi que leur manipulation. Ces violations font souvent suite à une compromission de compte, qui permet aux hackers de mettre un pied dans un réseau protégé.
D’après le rapport d’IBM Cost of a Data Breach Report 2023, le coût et la fréquence des violations de données ont atteint des sommets historiques : c’est le début d’une nouvelle ère de la cybersécurité. Ainsi, dans le monde, le coût moyen d’une violation de données atteignait les 4,45 M$ (USD) en 2023. Du jamais vu dans toute l’histoire. Si les vecteurs d’attaque sont nombreux, le phishing remporte la palme avec un coût moyen pour les victimes évalué à 4,9 M$ pendant toute la période. En outre, les grandes entreprises sont loin d’être les seules cibles.
Les entreprises comptant moins de 500 employés affichaient un coût par violation en hausse de 13,4 % d’une année sur l’autre en 2023, soit 3,31 M$ (USD).
Du côté des consommateurs, les conséquences s’en sont fait particulièrement ressentir. Dans le monde de l’entreprise et des institutions, les violations de données ont fait plus de 360 millions de victimes pendant les huit premiers mois de l’année 2023, d’après un récent rapport d’Apple. La Russie était le pays comptant le plus grand nombre de comptes piratés, à raison de 49 pour 1000, suivi par la France (25), et les États-Unis (24).
D’après IBM, les violations de données les plus coûteuses pour les entreprises comme pour les consommateurs sont celles du domaine de la santé, avec une addition salée de 11 M$ par entreprise. Au T3 2023, les violations de données ont donné lieu à des fuites de plus de 6,4 millions de dossiers médicaux dans le monde.
Fuite de données : la suite logique du vol de données
Les fuites de données, c’est-à-dire la publication ou le partage non autorisé d’informations volées, auprès du public ou sur des réseaux privés, sont une des conséquences les plus courantes du vol de données.
Et les fuites de données sont étonnamment faciles à découvrir.
Une simple recherche Internet comportant le terme « leaks » peut permettre de trouver des données volées à vendre. Si cette facilité ne présage rien de bon pour les victimes, les hackers en font leurs choux gras, s’équipant de nouveaux outils qui facilitent toujours plus la découverte d’informations sensibles.
Ainsi les chercheurs de Vade ont récemment découvert un canal Telegram qui envoie aux hackers un fil recensant les dernières fuites de données. En un clic sur un lien direct, les hackers peuvent donc accéder rapidement et facilement à chaque fuite qui les intéresse.
Canal Telegram recensant automatiquement les fuites
Il est également possible d’accéder, gratuitement ou moyennant paiement, à des données fuitées sur des forums Internet. Les images ci-dessous montrent des fuites de données visant trois entreprises basées au Mexique et en France.
Fuite de données d’une banque mexicaine
Fuite de données d’une entreprise française
Fuite de données d’une entreprise française
Comme en attestent ces exemples, les hackers n’ont même plus à s’aventurer sur le darknet pour mettre la main sur des données volées. Tout ce dont ils ont besoin pour se procurer les outils nécessaires, c’est d’un ordinateur et d’une connexion Internet.
Fuite de données : les arnaqueurs arnaqués
Les fuites de données représentent aujourd’hui un marché lucratif pour les acteurs malveillants. Les gains sont tels que les hackers n’hésitent pas à s’en prendre à leurs pairs. Et si le vol de données déjà volées n’est pas rare sur le darknet, il en va de même pour les faux dossiers.
Europcar en a récemment fait les frais. Dans une publicité diffusée sur un site consacré aux données fuitées, des hackers prétendaient avoir subtilisé les informations personnelles de 50 millions de clients de l’entreprise. Un échantillon était même fourni pour prouver leurs dires. Europcar a rapidement démenti, affirmant qu’aucune donnée n’avait été volée. L’entreprise a en effet expliqué que l’échantillon fourni ne correspondait à aucun dossier client et qu’une partie au moins des informations personnelles étaient créées de toutes pièces. Par exemple, certains codes postaux et adresses de client n’existaient tout simplement pas.
Si le doute plane ici sur la méthode de production des informations, les hackers ont toutefois bien les moyens de créer de fausses données. Parmi ces méthodes, on peut citer le détournement d’outils employés par les développeurs de logiciels pour générer des ensembles de données vastes et pertinents, qui sont ensuite utilisés dans le cadre de tests d’application légitimes. L’IA générative en fait également partie, et elle a la capacité théorique de fabriquer des données.
Pour autant, ces fausses fuites de données, en plus d’être une opportunité pour les hackers en herbe, sont particulièrement préoccupantes pour les entreprises ciblées, qui se voient forcées de rassurer les clients, de vérifier l’absence de violation et de répondre publiquement aux allégations.
Vol de données : protéger votre entreprise
Du fait de leur valeur et de leur potentiel de compromission, les données font l’objet d’un marché illégal où elles sont partagées et monnayées à tout va. Les malfaiteurs, souvent en bande organisée, exploitent ces données sensibles à diverses fins, dont le vol d’identité, la fraude financière et l’extorsion. Le dark web regorge d’ailleurs de forums où les cybercriminels se retrouvent pour échanger des informations et des outils, voire des services personnalisés.
Dans ce contexte, le vol de données est un risque non négligeable pour les entreprises. Les données clients, les informations financières et la propriété intellectuelle sont autant de ressources vulnérables, et leur compromission menace directement leur continuité opérationnelle. Parmi les méthodes d’accès les plus courantes aux informations sensibles, le phishing repose souvent sur l’ingénierie sociale, le but étant d’usurper une identité légitime afin d’obtenir des informations confidentielles.
En tant qu’entreprise, votre réponse à cette menace doit passer par des mesures de cybersécurité robustes, notamment des protocoles de protection des données, des formations de sensibilisation des employés et des solutions de prévention du phishing. Ne faites pas l’impasse sur le déploiement de technologies de détection des menaces et sur la surveillance continue, qui sont indispensables à l’identification d’activités suspectes et à votre capacité d’atténuation des risques. Enfin, la protection des données doit devenir une priorité absolue : faites preuve d’une vigilance constante envers les menaces persistantes et restez sur vos gardes face à des malfaiteurs qui ne sont pas insensibles à la valeur des données et à la possibilité de les exploiter.