Un marché de hackers vend l’accès à des centaines de milliers de profils de victimes, qui peuvent chacun contenir plusieurs centaines d’identifiants. Le tout, pour à peine quelques dizaines d’euros. Mais le marché noir va plus loin : il propose gratuitement un outil pour copier le navigateur web des victimes, avec des conséquences catastrophiques : fraude financière, vol d’identité ou encore chantage à la divulgation d’informations compromettantes…

Pour quelques euros, des cybercriminels peuvent acheter des identifiants de Français piratés sur un marché en ligne. On y trouve des accès à des comptes faciles à revendre comme PayPal, Facebook, Gmail ou de banque ; des moyens de connexion à des sites administratifs comme ceux des impôts, de l’assurance maladie et de la CAF ; ou encore des identifiants pour des sites plus triviaux comme des forums de jeux vidéo ou des sites pornographiques.

Bien connu des experts du domaine, ce marché pirate a une particularité qu’il partage avec peu d’autres : il est accessible sur le « clear web », c’est-à-dire qu’il ne se cache pas vraiment. La majorité des places de marché où les cybercriminels s’échangent des informations en première main sont hébergées sur des sites en « .onion », accessibles uniquement via le réseau anonyme Tor. Relativement difficiles à trouver, elles sont aussi extrêmement volatiles, puisque les autorités les ferment à intervalle régulier.

Cependant, celle dont nous parlons ici existe en plein jour depuis plus d’un an, puisque Kaspersky Lab avait réalisé un rapport sur elle l’an dernier, évoquant le danger qu’elle représentait. Malgré ces avertissements, elle n’est toujours pas fermée ce jeudi 5 novembre. Pire, elle vend cinq fois plus de profils piratés — plus ou moins 320 000 — qu’à l’époque. En moyenne, des dizaines de profils de Français piratés sont déposés chaque jour. Ces profils contiennent non seulement leurs identifiants, mais aussi de quoi reproduire leur empreinte navigateur, sorte de carte de visite pour les sites web. Autrement dit, les acheteurs — des cybercriminels — s’offrent suffisamment d’informations pour voler une grande partie de l’identité en ligne des victimes.

Cyberguerre a pu accéder à cette plateforme, et a découvert des milliers de profils volés appartenant à des Français.

Le marché noir a quintuplé de taille en un an

Pour accéder au site, il faut créer un compte à l’aide d’une invitation. On obtient ensuite l’accès à une liste de « bots », le nom donné à chaque profil vendu. Les vendeurs les ont dérobés le plus souvent à l’aide d’extensions de navigateur malveillantes, comme de faux bloqueurs de publicités. L’outil vérolé copie tout identifiant ou formulaire sauvegardé dans le navigateur, puis l’envoi directement au cybercriminel, situé à distance.

Image d'erreur

Le site présente une liste de bots à la vente, avec de nombreuses informations. // Source : Capture d’écran Numerama

Chaque bot peut contenir des identifiants, des cookies, mais aussi une ou plusieurs empreintes navigateur. Certains contiennent à peine 3 identifiants, d’autres en offrent plus de 800, accompagnés de plus de 2 000 cookies. Ces bots perdent de la valeur avec le temps, puisque le risque que la victime ait changé ses identifiants augmente : comme sur une plateforme de vente classique, les cybercriminels soldent donc leurs produits à intervalles réguliers.

Paiements en Bitcoin, Dash ou Litecoin

En revanche, puisqu’il s’agit d’une place de marché pirate, le contenu des bots déposés n’est pas garanti. Les tenanciers du site insistent fortement sur ce point dans leurs conditions d’utilisation : « le Magasin ne vérifie pas la validité des accès donnés par les bots. Nous ne sommes pas responsables de la validité et de l’exactitude des informations entrées par un bot. »

Acheter sur le site expose donc à des risques d’arnaque, des risques légaux, mais aussi à des risques purement financiers. Pour effectuer une transaction, il faut déposer des cryptomonnaies sur une cagnotte tenue par les opérateurs du site, afin de débloquer un crédit équivalent en dollars, utilisable sur le marché.  Les acheteurs s’exposent à l’éventualité que les gestionnaires ferment leur site et partent avec tous les fonds qui n’ont pas été dépensés.

De 0,50 centime à 80 euros, les comptes français sont peu chers

Sur le moteur de recherche du marché, chaque bot a un identifiant complexe. Les offres de vente précisent la nationalité de la victime (en fonction de son adresse IP), quels navigateurs (Chrome, Firefox, Opera…) elle utilisait, ainsi que le nombre de cookies, et le détail des sites compromis. Elles indiquent également la date à laquelle des données ont été dérobées, et celle à laquelle elles ont été téléchargées sur la plateforme.

En fonction de cet ensemble de critères, le vendeur a fixé un prix. Coup de chance pour les cybercriminels français : les comptes hexagonaux sont relativement peu chers par rapport à leurs équivalents d’autres pays, car la plateforme ne reconnait que très peu de sites francophones et évalue donc mal leur valeur.

Mais parlons concrètement, avec trois exemples de bots français que nous avons sélectionnés, mis en vente ces derniers jours, à trois gammes de prix différents.

  • Profil 1, à 3 dollars : 
Image d'erreur

À 3 euros, les cybercriminels peuvent acheter des identifiants Gmail récents. // Source : Capture d’écran Numerama

En entrée de gamme, le profil 1 ne contient que 47 cookies, et cinq lots d’identifiants : deux d’entre eux servent à se connecter à un ou des comptes Gmail, le seul service du bot reconnu par le marché. Deux autres jeux d’identifiants permettent de se connecter à un forum de « triche et de hacks pour les jeux multijoueurs », où s’échangent notamment des « aimbots », ces logiciels qui permettent de viser automatiquement dans les jeux de tirs comme Fortnite ou Call of Duty. Le dernier lot d’identifiant permet de se connecter à un espace étudiant de l’Université de Picardie Jules Verne, à Amiens.

Avec ces quelques informations, il est facile de créer un portrait probable de la victime : un étudiant à la recherche de logiciels de triche ou de hacking, qui se serait fait piéger sur un forum. Pour seulement 3 euros, on pourrait peut-être avoir accès à son compte Gmail, qui pourrait nous permettre de mettre la main sur toutes sortes d’autres comptes. Mais le service d’email de Google avertit plutôt bien ses utilisateurs à propos des connexions extérieures, et il pourrait être protégé par la double authentification, ce qui empêcherait l’accès à un éventuel acheteur.

  • Profil 2, à 16 dollars : 
Clavier iPhone.jpg

Au-delà de la dizaine de dollars, les profils commencent à être bien fournis. // Source : Capture d’écran Numerama

En gamme moyenne, ce second profil est bien plus fourni : 3 000 cookies sur Chrome, 1 700 sur Firefox, accompagnés des identifiants de 66 sites. La plateforme reconnait 18 d’entre eux : Facebook, Netflix, Office 365, RyanAir ou encore Spotify. Dans le reste des sites se trouvent des identifiants pour Twitch, Parcours Sup, celui de la carte de transport francilien Navigo ou encore plusieurs sites liés au jeu vidéo.

Le nombre de sites à disposition pourrait motiver un revendeur à passer à l’achat. L’accès aux comptes Spotify ou Netflix se vend à quelques euros, et il devrait pouvoir grappiller certaines informations personnelles sur les autres sites. Et même si les identifiants du lot ne fonctionnent pas tous, l’acquéreur pourra toujours en tirer de la valeur.

  • Profil 3, à 44 dollars : 
Image d'erreur

Pour 44 euros, la plateforme vous donne accès à plus de 500 jeux d’identifiants. // Source : Capture d’écran Numerama

Le début du haut de gamme, qui peut monter jusqu’à 200 euros. À 44 euros, le bot contient 523 jeux d’identifiants, dont 105 reconnus par la plateforme. Autant dire qu’à ce stade, c’est comme si l’intégralité de la vie numérique de la victime était à la vente.

La victime pourrait d’ailleurs être des victimes, une famille entière : le profil contient des accès au site de la bibliothèque rose — une collection de livres pour enfants entre 6 et 10 ans — et à la chaîne de télévision Télétoon, qui vise la même tranche d’âge. En parallèle, il offre un grand nombre d’accès à des sites liés aux jeux vidéo Minecraft, Pokémon et Fortnite, ainsi que des identifiants pour l’espace étudiant de l’Université de Rouen. Pour finir, il contient aussi les accès à plusieurs sites administratifs, dont ceux des impôts et de la sécurité sociale, ainsi qu’à de nombreux sites automobiles, de l’achat à l’assurance.

Tous ces identifiants pourraient appartenir à la même personne. Mais ils pourraient également être rattachés à un ordinateur familial d’une famille à un ou deux enfants. Un des membres de la famille aurait téléchargé le logiciel malveillant par inadvertance, et compromis les comptes de tous ses proches…

Comme vous l’aurez remarqué, la plupart des bots sont liés à des profils d’étudiants portés sur le jeu vidéo, le piratage ou le téléchargement illégal, bien qu’il y ait des profils variés. Mais ces éléments donnent une indication sur quel type de personne se fait piéger avec les extensions malveillantes et autres malwares.

Voler l’empreinte navigateur pour voler l’identité de la victime

Le produit phare du marché n’est même pas les identifiants, mais bien « l’empreinte navigateur », aussi appelée « masque numérique », également comprise dans les bots. Lorsque vous êtes en ligne, les sites récupèrent des dizaines d’informations à partir de votre navigateur : votre fuseau horaire, votre réglage de langage, la taille de votre écran et celle de votre fenêtre ou encore les caractéristiques de votre batterie si vous êtes sur portable ou sur téléphone.

Vous pouvez voir ces informations dans le détail sur des sites comme Am I Unique (suis-je unique ?). Ce dernier comparera les caractéristiques auxquelles il a accès par votre navigateur avec les 2,8 millions d’empreintes de sa base de données . Par exemple, l’utilisation d’un clavier Azerty, spécifique aux francophones, n’est partagée que par 0,08% de la base de données, et distingue fortement mon navigateur de celui des autres.

Cette empreinte navigateur vous est donc propre, et est un fort indicateur de votre identité en ligne. Les techniques antifraude automatiques élaborées, comme celles des établissements financiers, s’en servent pour déterminer si une transaction sort de l’habituel. Le cas échéant, votre banque vous fera vérifier l’opération par un autre moyen.

Chantage, fraude, vol d’identité, choisissez votre poison

La place de marché dont nous parlons propose non seulement ces informations à la vente, mais propose même sa propre extension pour reproduire l’empreinte gratuitement. Ainsi, un cybercriminel disposera non seulement des identifiants de la victime, mais aussi d’un clone du navigateur de sa victime. Il aura ainsi presque toutes les cartes en main pour montrer patte blanche auprès de certains outils antifraude avancés.

À partir de constat, le nombre d’actes malveillants possibles est effrayant : fraude financière, vol d’identité, chantage à la diffusion d’information (plusieurs profils présentent des identifiants pour des sites X ou coquins)… Le tout, rappelons-le, pour seulement quelques dollars.

Heureusement, la double authentification, quand elle est disponible, permet d’endiguer le risque : les cybercriminels auront beau avoir les identifiants de la victime, ils n’auront pas le code supplémentaire envoyé sur une app ou sur le téléphone de leur cible. Ils devront donc pousser plus loin leur manipulation, quitte à s’exposer, ou laisser tomber l’affaire.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !