Qualifié depuis quelques années de nouveau pétrole du XXIe siècle, le business des données personnelles a lui aussi son marché noir.

De nombreux rapports s’inquiètent de l’augmentation des failles de sécurité dans les entreprises récoltant de nombreuses données personnelles.

Récemment, un fichier contenant les informations administratives de 250.000 Français a été piraté et mis en ligne. Elles étaient vendues pour seulement… dix euros !

Durant longtemps, les entreprises ayant pignon sur rue ne se gênaient pas pour commercialiser nos données à tour de bras. Mais depuis plusieurs années, de nombreux pays ont légiféré pour encadrer ces pratiques.

En Europe, par exemple, c’est le RGPD (Réglement général pour la protection des données), en application depuis 2018, qui prévaut. Mais une problématique reste toujours difficile à juguler : ce sont les cyberattaques visant les données personnelles.

En juillet 2020, ce sont par exemple Twitter et Doctolib qui en ont fait les frais (et surtout leurs utilisateurs).

La compromission des données en constante augmentation

Chaque année, le Data Breach Investigations Report fait un état des lieux des cyberattaques dans le monde. En 2020, 32.000 incidents ont été signalés et 58 % de ces incidents concernaient le vol de données, soit deux fois plus que l’année dernière.

Une autre étude, menée par le Ponemon Institute sur le coût de la brèche des données personnelles pour les entreprises, montre que c’est le domaine de la santé le plus concerné. Les Etats-Unis figurent en tête des pays les plus touchés.

Enfin, il établit qu’il faut en moyenne 280 jours pour une entreprise pour identifier et contenir la brèche. Autant dire que la fuite d’informations personnelles est un vrai casse-tête !

Du vol et du recel… sur le net

Les données volées sont vendues sur un marché noir par des boutiques pirates. On les trouve sur le darknet mais aussi parfois sur le web, via des logiciels de messagerie sécurisés ou des forums.

Les transactions se font généralement en bitcoins, une monnaie cryptée et intraçable. Elles proposent diverses catégories aux acheteurs : numéros de mobiles, numéros de cartes de crédit, identifiants pour une application, pour un site etc.

Chaque type de données ne coûte en effet pas le même prix. Le site de surveillance Zataz dévoilait il y a deux jours une vente des données de 250.000 Français, concernant des documents administratifs.

Pour la modique somme de dix euros, les « blacknautes » (ou les cybervoleurs) pouvaient accéder à tous les documents d’identité d’une personne (carte d’identité, permis de conduire, mais aussi numéros de téléphones, adresses postale et électroniques, informations bancaires…).

La collecte frauduleuse de données personnelles est sanctionnée en France par cinq ans d’emprisonnement et 300.000 euros d’amende, mais les coupables sont rarement identifiés.

Source AFP