Sur le darknet, on trouve de tout et surtout des données d'identification. Et les hackers s'en servent pour se remplir les poches. Un conseil, variez vos mots de passe.
On savait déjà que 28% du trafic Web est généré par des robots. Et bien, d’après le rapport de l’entreprise de cyber-sécurité Shape Security, sur les sites de e-commerce, c’est encore pire. Neuf tentatives de connexion sur dix sont en fait des bots programmés par des hackers. Les banques et les compagnies aérienne font également l’objet de nombreuses attaques : 60% des tentatives de connexion.
Les sites pour adultes plus sécurisés que les sites de e-commerce
Si les hackers s’acharnent sur ces sites, c’est parce qu’ils pratiquent la méthode du credential stuffing. Une technique de fraude alimentée par des collectes de données illégales. En 2017, les failles de cyber-sécurité ont permis de récolter 2,3 milliards de données d’identification. GoogleDocs, Instagram, Imgur et même le gouvernement australien font partie des sites touchés. Nos données étaient plus en sécurité sur PornHub que sur Amazon. Le rapport ne dénote aucun problème sur les sites pour adultes alors que pour les services en ligne, 11 failles ont conduit à des captages de données. Avec deux attaques de très grande envergure, c’est Yahoo! qui a laissé filer le plus de données.
Le problème, c'est que nous utilisons toujours les mêmes mots de passe...
Ces données d’identification – mot de passe et nom d’utilisateur- sont la matière première des hackers qui pratiquent le credential stuffing. Vos mots de passe et identifiants collectés illégalement sont revendus sur le dark Web. On y trouve de tout et à bon prix : des listes de comptes sociaux pour 10$, des données Netflix pour moins de 30$ et des mots de passe Airbnb pour 45$. Les données les plus prisées restent les données financières – compte PayPal, compte en banque ou numéro de carte de crédit- qui s’écoulent pour plus de 700$. Au contraire, votre profil Tinder a peu de valeur sur le dark Web, seulement 8$.
Une fois les données récupérées, les hackers misent sur le fait que les internautes utilisent les mêmes mots de passe sur plusieurs sites. On ne cesse de répéter qu'il ne faut pas le faire... Pourtant, tout le monde continue... Avec en moyenne, 7 comptes sociaux par personne, ça fait rapidement beaucoup de mots de passe à retenir. Et les hackers en font leur beurre. Grâce à des bots, ils testent les combinaisons sur une multitude de sites en espérant que ça fonctionne.
200€ pour du cheddar
La méthode du credential stuffing possède un taux de réussite de 3%. Ça paraît peu mais d’après le rapport Shape, pourtant la facture est rapidement salée pour les entreprises. L’étude estime d'ailleurs que ce type d’attaques coûte 6 milliard de dollars par an au secteur du e-commerce. Pour la banque, la note s’élève à 1,7 milliards de dollars. Dans le secteur de l’hôtellerie et des compagnies aériennes, le vol de points de fidélités représente 700 millions de dollars par an.
Pour monétiser leurs attaques, les hackers sont à la recherche de comptes avec des informations bancaires enregistrées, par exemple. Grâce à l’argent obtenu, les malfaiteurs achètent des biens qu’ils revendent ensuite à des tiers. Cupides, les hackers s’intéressent à des produits plutôt inattendus. Le rapport pointe du doigt le marché noir… du fromage ! Les attaques se multiplient contre les distributeurs de fromage dans le but de revendre les revendre à prix d’or aux restaurateurs. Et ça peut vraiment rapporter gros, le cheddar le plus cher au monde se vend déjà 200€ les 450g sur le marché traditionnel.
Allez, on est sympa : pour vous éviter ce type de mésaventure, on vous partage la liste des pires mots de passe de 2018. À ne surtout pas utiliser !
Participer à la conversation