Cybersécurité : que font les cybercriminels avec les données volées en ligne ?

Les données personnelles et professionnelles représentent un Graal très attractif pour les pirates du Net. Et pour cause : dans le monde, le coût de la violation de données représente près de 4,3 millions d’euros (4,35 millions de dollars) en moyenne par incident, selon IBM. Pourquoi ces données ont-elles un si grand intérêt pour les cybercriminels ? Qu’espèrent-ils en tirer ? Explications.

Dans le vocabulaire de la cybersécurité, on appelle cela une violation de données. La destruction, la perte, l’altération, la divulgation, l’accès non autorisé aux données des entreprises et/ou aux informations personnelles des citoyens sont autant d’exemples. Parfois, c’est accidentel, mais le plus souvent… c’est illicite et d’origine malveillante. Les vols et fuites de données sont généralement consécutifs à des cyberattaques, mais pas seulement.

De grands noms n’y échappent pas. Pour la seule année 2021, des vols de données ont par exemple concerné CDiscount, Microsoft, la Sita (Société internationale de télécommunication aéronautique), Facebook, LinkedIn, McDonald’s, Volkswagen, l’AP-HP (l’Assistance publique-Hôpitaux de Paris), Panasonic…

Coût financier et déficit d’image

Le géant de l’informatique IBM mène chaque année une enquête sur les violations de données. Pour la dernière en date « Combien coûte une violation de données en 2022 ? », l’entreprise a interrogé (entre mars 2021 et mars 2022) 550 organisations affectées par ce phénomène dans 17 pays du monde.

Ainsi, le coût moyen des violations de données a augmenté de 2,6 %, passant de 4,24 millions de dollars en 2021 à 4,35 millions de dollars en 2022. Pour la France, la « facture » s’établit à 3,95 millions d’euros par incident, contre 3,84 millions d’euros l’an passé. Malgré cette légère hausse, les conséquences financières demeurent importantes. Il est aussi question d’image auprès des clients des entreprises, et des usagères et usagers des services publics concernés. Et plus globalement, cela impacte la confiance numérique.

Quel mode opératoire pour récupérer des données ?

Mais quelles données intéressent les cybercriminels ? Informations d’identité, RIB, coordonnées bancaires, adresses mail, numéros de téléphone, mots de passe, fichiers clients, process de fabrication, dossiers médicaux… La liste est longue, et les modes opératoires désormais bien connus. Parmi les plus fréquents, on trouve le phishing, le rançongiciel et le malware.

Avec le phishing ou hameçonnage, les pirates font croire à la victime qu’elle communique avec un tiers de confiance. Objectif : lui soutirer des informations personnelles comme son numéro de carte bancaire. Pour y parvenir, les malfrats n’hésitent pas à créer un faux site internet en se faisant passer pour un site d’e-commerce ou une administration.

Par le biais du rançongiciel, les pirates récupèrent et chiffrent les données, puis ils demandent à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. Du chantage pur et simple.

Le logiciel malveillant ou malware, lui, est introduit dans le système d’information de la victime. Le but est d’accéder au réseau professionnel pour dérober des informations sensibles.

Les cybercriminels exploitent les données de différentes façons :

Elles servent de monnaie d’échange pour obtenir le paiement d’une rançon.
Elles sont diffusées en ligne pour nuire à l’image d’une entreprise.
Elles sont vendues sur le dark web : d’autres pirates les utiliseront alors pour lancer des campagnes de phishing ou réaliser des usurpations d’identité.
Les numéros de téléphone sont utilisés pour des fraudes (au CPF par exemple !).
Elles servent à espionner des entreprises, à les déstabiliser, à mettre en place des escroqueries comme les faux virements (FOVI), connues aussi sous le nom d’arnaque au président, etc.

Cybersécurité : des professionnels
au bord de la crise de nerfs

Cybersécurité : des professionnels
au bord de la crise de nerfs

Déjà une longue liste de vols de données en 2022

L’actualité illustre très régulièrement l’appétit des pirates pour les données des entreprises, des organisations publiques et des particuliers. RNM+S en a recensé quelques exemples récents, qui montrent comment les données obtenues frauduleusement peuvent être exploitées.

Thalès, géant de l’aérospatiale et de la défense, est victime d’une cyberattaque par rançongiciel le 3 janvier 2022. Un groupe de pirates menace alors de publier des données volées, supposément sensibles, afin de négocier un paiement en cryptomonnaies. Thalès assure ne pas avoir payé de rançon. Plusieurs fichiers ZIP ont ensuite été divulgués en ligne, notamment du code informatique pour développer certaines solutions de l’entreprise. Des données à faible niveau de sensibilité, d’après Thalès. Qu’importe, les pirates ont montré leur capacité de nuisance envers un fleuron de l’industrie.

Le conseil départemental d’Indre-et-Loire est victime d’un vol de données le 11 juillet 2022. Il s’agit de données administratives internes au Département, qui seront publiées sur le dark web (réseau parallèle illicite). Y figurent des informations relatives aux services et agents de la collectivité, qui feront vraisemblablement l’objet d’utilisations détournées, prévient le Département.

Le réseau social Twitter n’a communiqué sur l’incident que le 5 août 2022, mais la fuite frauduleuse remonterait à janvier. Des pirates informatiques ont eu accès aux données personnelles de… 5,4 millions d’utilisateurs et utilisatrices. Sont notamment concernés des adresses e-mail, des numéros de téléphone, des données de localisation. Selon le média BleepingComputer, certaines informations dérobées ont déjà été revendues pour environ 29 000 €.

Tout début septembre 2022, c’est au tour du portail FranceConnect d’être concerné par un accès frauduleux aux données. Ce service permet notamment d’accéder aux sites d’Ameli et des impôts. La Direction informatique interministérielle (Dinum) a indiqué que « des individus mal intentionnés contactent des usagers pour leur extorquer leurs identifiants et mots de passe Ameli ou impots.gouv.fr et ensuite s’en servir pour accéder à des financements comme ceux de Mon Compte Formation » via FranceConnect. Selon elle, « au cours de l’été, une intensification de ces fraudes a été constatée avec quelques centaines de signalements par mois ».

Concernant impots.gouv.fr, les pirates récupèrent l’accusé de réception de la télédéclaration et le numéro fiscal des contribuables. Puis, grâce à ces données, ils font croire qu’ils ont perdu leur mot de passe, en récupèrent un autre, et se connectent en usurpant l’identité du contribuable. Avec ce tour de passe-passe, ils créent un nouveau relevé d’identité bancaire, et encaissent les sommes trop perçues envoyées par les impôts. Le ministère de l’Économie estime le montant du préjudice « à plusieurs milliers d’euros ».

L’ultrasensibilité des données de santé

Au cœur de l’été 2022, l’attaque par rançongiciel de l’hôpital de Corbeil-Essonnes le 21 août a défrayé la chronique, et jeté une lumière crue sur les ambitions des pirates. Lesquels réclamaient 10 millions d’euros pour débloquer les services informatiques. L’hôpital a refusé de verser cette rançon.

Si les pirates arrivent à voler entre 50 000 et 200 000 dossiers médicaux complets, ils vont les revendre plusieurs millions d’euros sur le marché noir.
Vincent Trély, président de l’APSSIS (Association pour la sécurité des systèmes d’information de santé)

À cette occasion, Vincent Trély, président de l’APSSIS (Association pour la sécurité des systèmes d’information de santé) a détaillé au Quotidien du médecin l’utilisation qui pouvait être faite des dossiers médicaux éventuellement dérobés (ce qui n’est pour l’heure pas avéré pour l’hôpital de Corbeil-Essonnes).

Selon lui, « si les pirates arrivent à voler entre 50 000 et 200 000 dossiers médicaux complets, ils vont les revendre plusieurs millions d’euros sur le marché noir. Il y a beaucoup d’États et de multinationales dans le monde qui sont potentiellement intéressées par ces données. Quand on détient 250 000 dossiers médicaux, on peut en tirer des informations sur la nature des maladies, les médicaments que les patients prennent. Les données de recherche sont aussi assez prisées. Imaginez que l’on dérobe à un hôpital cinq années de recherche sur le traitement du cancer chez les enfants ? Cela représente des millions d’euros ».

Le site de veille en cybersécurité Zataz donne, de son côté, l’exemple du groupe hospitalier Cœur Grand Est attaqué au printemps 2022.

Les pirates ont collecté des informations les 17 et 18 avril 2022. Parmi les données personnelles des patientes et patients figurent notamment des numéros de sécurité sociale, des scans de passeport, des informations bancaires, des numéros de téléphone… Zataz est parvenu à établir que les informations exfiltrées par les pirates se monnayent sur le dark web. Quatre dollars pour un RIB, idem pour une fiche patient et un passeport. Bien sûr, en fonction des volumes disponibles, l’activité s’avère lucrative.

De son côté, le Journal du Net estime que les dossiers médicaux (contenant les coordonnées du patient, les résultats d’examens, les traitements suivis) peuvent être revendus entre 50 et 250 euros sur le marché noir. Pire, en connaissant l’état de santé d’une personne, les cybercriminels peuvent créer des mails piégés personnalisés. Hélas, redoutablement efficaces.

Cybersécurité : que deviennent
les données volées en ligne ?

Comment concilier cybersécurité et sobriété numérique ?

Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ?

La cybersécurité des infrastructures critiques, un enjeu d’importance nationale