BFM Business

Mots de passe, coordonnées bancaires: comment les données volées se revendent discrètement en ligne

Genesis recense des dizaines de milliers de profils numériques.

Genesis recense des dizaines de milliers de profils numériques. - Ed Jones / AFP

L'un des principaux services au monde de revente de données personnelles, Genesis, s'est spécialisé dans la revente de profils numériques, à des fins d'usurpation d'identité en ligne.

Où finissent nos données personnelles, une fois dérobées en ligne ? Bien souvent sur un marché parallèle, dans les tréfonds du Web. Les données d'identification seraient près de 15 milliards à figurer sur le dark Web, d'après une récente estimation publiée en juillet. Plus de 5 milliards, en retirant du compte les doublons.

Genesis figure parmi les principaux services de revente de ces données. Il fait figure d'immense supermarché, accessible en quelques clics. Au même titre qu'une grande surface, la plateforme dispose de son propre service après-vente, réactif et perfectionné, ainsi que de ses propres soldes et offres commerciales. Ces dernières ne portent en revanche pas sur des produits courants, mais bel et bien sur des données d'identification.

Des profils numériques

Parmi elles, se retrouvent pêle-mêle des numéros de sécurité sociale, adresses mail et mots de passe affiliés, notamment de réseaux sociaux populaires, ou tout autre identifiant permettant d’usurper l’identité d’un internaute, bien souvent pour lui dérober de l’argent. "Sur Genesis, on retrouve des "bots"", explique Emily Yale, data scientist auprès de la société de sécurité informatique Shape Security.

"Un bot agrège toutes les informations qu'un logiciel malveillant a pu extraire de l'ordinateur d'une victime: des identifiants de connexion, noms d'utilisateur et mots de passe mais aussi des informations plus sophistiquées, dont des données bancaires, des identifiants de réseaux sociaux. Leur prix moyen avoisine les 20 dollars mais peut grimper jusqu'à 200 dollars, en fonction de la qualité et de la rareté de l'information", souligne-t-elle à propos de ces lots qui font office de profils numériques.

L'interface de Genesis.
L'interface de Genesis. © Shape

Surtout, les données achetées ne sont pas figées. "En achetant un bot, les pirates obtiennent la possibilité de générer une empreinte qui viendra s'intégrer au navigateur Web utilisé, pour feindre une connexion depuis l'ordinateur de la victime". Pour couronner le tout, les bots continueront à être mis à jour tant que la machine de la victime sera infiltrée par le logiciel malveillant.

Dès lors, modifier son mot de passe en espérant se prévenir d'une intrusion n'aura plus aucun effet. Le nouveau mot de passe sera d'office connu. Surtout, l'accès aux comptes personnels des victimes se fera sur le long terme, avec les conséquences souvent financières que cela implique.

Une lutte sans fin

Si l'entrée sur Genesis se fait sur invitation, acheter des données d'identification via ce service reste un jeu d'enfant. Le service gagne par ailleurs en popularité, au même titre que ses concurrents.

"Il y a un an, entre 120 et 130.000 bots pouvaient être achetés sur cette place de marché. En un simple coup d'œil, on peut remarquer qu'il y en a aujourd'hui près de 320.000. Et ces nombres évoluent très rapidement. On peut très légitimement penser que le nombre de victimes continue lui aussi de croître", note Emily Yale. D'après les chiffres transmis par F5, les bots liés à des données d'internautes français seraient au nombre de 40.000.

Que faire contre ces services? Les recours pour les faire disparaître sont longs et dispendieux. A la suite d'une enquête du FBI, un large site de revente de données personnelles, WeLeakInfo, a fermé en début d'année. D'autres ont depuis pris le relais. Shape indique avoir signalé aux forces de l'ordre l'existence de Genesis et donné diverses informations sur son fonctionnement. Il leur incombera de faire fermer, ou non, ce service ces prochains mois.

https://twitter.com/Elsa_Trujillo_?s=09 Elsa Trujillo Journaliste BFM Tech