June 2, 2021

Le vol de données (1/4) : comment des individus mal intentionnés dérobent vos données ?

5 MIN READ – TEAM XSL LABS

Share on facebook
Share on twitter
Share on linkedin
Share on telegram
Share on whatsapp

Le vol de données (1/4) : comment des individus mal intentionnés dérobent vos données ?

Le vol de données d’identité sur Internet n’a jamais été aussi important qu’aujourd’hui et il est en constante augmentation. La CNIL compte pour 2019 une augmentation de 195% des cas de signalement par les entreprises d’accès illégitime à des données personnelles par rapport à 2018. Ces données dérobées profitent à des individus mal intentionnés et aux nombreuses entreprises commerciales qui les exploitent. C’est la raison pour laquelle XSL Labs a souhaité trouver des solutions afin d’assurer la sécurité de ces données.

Nous avons souhaité dans cette suite d’articles offrir au lecteur un tour d’horizon complet du vol de données dans le monde afin qu’il puisse prendre la juste mesure de ce phénomène aussi généralisé que coûteux. Nous nous attacherons dans ce premier article à exposer les méthodes les plus communes par lesquelles des individus mal intentionnés obtiennent vos données personnelles ainsi que la façon dont ils mettent celles-ci à profit, puis nous présenterons les chiffres mondiaux du vol de données et nous explorerons le cas plus spécifique des entreprises et enfin celui des services publics et du secteur médical.

 

Les techniques du vol de données

Les principales techniques grâce auxquelles des individus mal intentionnés parviennent à leurs fins sont le clickjacking et le phishing.

Le clickjacking consiste à pousser l’internaute à divulguer des informations confidentielles ou de prendre le contrôle de son ordinateur en l’amenant à cliquer sur certaines pages où sont placés des « pièges », des liens cachés qui vont amener l’utilisateur dans des lieux qu’il n’a pas choisis. Certains de ces « pièges » sont notamment cachés dans des jeux où le joueur doit cliquer sur certains boutons pour marquer des points, sans savoir que ceux-ci activent secrètement sa webcam.

Le phishing ou « hameçonnage » est bien connu. Les individus mal intentionnés usurpent l’identité d’un organisme ou d’un tiers en qui l’utilisateur à confiance comme une banque, une assurance, les Finances Publiques, des caisses d’allocations et vont tenter en prétextant un problème souvent urgent à résoudre et mettant l’utilisateur en difficulté de l’amener vers un site identique à celui de l’institution afin de lui demander d’entrer ses données, qui sont ainsi récupérées dans les bases de données d’individus mal intentionnés.

Les « attaques par force brute » sont également des pratiques courantes, utilisant des logiciels spécialisés qui permettent de tester un très grand nombre de mots de passe très rapidement. Si le mot de passe est trop simple, les voleurs de données s’introduisent dans les comptes protégés de l’utilisateur et peuvent accomplir leur méfait.

Enfin, une autre pratique fréquemment utilisée est celle du « credential stuffing ». Elle consiste à tester sur une page de connexion à un service, un grand nombre de couples « identifiant et mot de passe » que les individus mal intentionnés ont obtenu grâce à d’anciennes violations de données. Ils exploitent de cette façon des listes qualifiées qu’ils achètent sur le dark web et qui contiennent des centaines de millions de courriels ou identifiants associés à un mot de passe. Cette stratégie de piratage a été mise au point après que les attaquants ont constaté que les utilisateurs se servent presque toujours de leur adresse email comme identifiant et qu’ils utilisent très souvent un mot de passe unique pour tous leurs comptes.

 

Comment les individus mal intentionnés tirent-ils profit de vos données ?

Ces identifiants de connexion sont ensuite mis à profit de différentes manières par des individus mal intentionnés selon les services auxquels ils ont permis l’accès.

Dans le cas où ils ont permis l’accès à des informations financières telles que des numéros de cartes bancaires et des codes de sécurité ils peuvent être utilisées dans le but d’effectuer des transactions illégales.

Les informations d’identité telles que noms, prénoms, adresses, dates de naissance, numéros de sécurité sociale vont quant à elles servir à usurper des identités sur internet ou à revendre ces données à des prospecteurs commerciaux peu scrupuleux.

Ils peuvent également dérober des informations de santé qui sont elles aussi très lucratives. Des documents d’assurance, des diplômes médicaux sont dérobés puis revendus à des tiers, ou utilisés par le pirate lui-même afin de demander des remboursements pour des prestations médicales coûteuses. De fausses ordonnances et de fausses cartes de soins de santé se monnaient également sur le dark web. Par ailleurs la consultation d’informations volées à l’assurance maladie, dans le but notamment de faire de fausses demandes de remboursement aux frais de la victime sont vendues à des prix très accessibles sur l’Internet souterrain, il est donc très facile pour celui qui souhaite profiter de ces données volées de les obtenir à peu de frais.

De nombreux autres moyens existent et ils sont impossibles à énumérer de façon exhaustive : ils démontrent toute l’ingéniosité des individus mal intentionnés pour trouver des moyens de retirer des profits des données personnelles.

Nous évoquerons dans un prochain article le coût immense que représentent ces vols de données pour l’économie mondiale.

Copyright © 2020 XSL Labs – All rights reserved