/news/currentevents

Vol de données personnelles: bar ouvert pour les fraudeurs

Hugo Joncas | Le Journal de Montréal

Des données personnelles comme celles des clients de Desjardins se trouvent déjà abondamment dans des « cryptomarchés » du dark web, où des criminels les offrent pour quelques centaines de dollars.

La police croit que des malfaiteurs sont en train de morceler l’information sur les 2,9 millions de membres du mouvement pour la revendre au détail sur le dark web, révélait notre Bureau d’enquête vendredi dernier.

Les experts consultés pensent aussi que les informations volées vont aboutir sur ces cryptomarchés.

À LIRE AUSSI

Desjardins annonce une nouvelle protection pour tous ses membres

Protection des données: «Le statu quo n’est plus une option», dit Guy Cormier

« Typiquement, ça va se retrouver sur ce type de plateforme », dit Jean Loup Le Roux, consultant en protection de l’information.

En quelques clics, notre Bureau d’enquête a pu dénicher hier des dizaines d’offres de malfaiteurs qui disent revendre l’information des clients de Desjardins et de grandes banques, incluant des numéros d’identification personnelle (NIP).

Des criminels offrent notamment les noms d’usager et les questions de sécurité de membres de Desjardins.

Rien n’indique que ces données proviennent du vol massif dévoilé il y a trois semaines. Desjardins assure d’ailleurs qu’aucun NIP ne fait partie de la fuite.

Dans le web caché

Le dark web n’est pas l’internet auquel le grand public accède normalement. Il est composé de sites impossibles à trouver avec un moteur de recherche conventionnel.

Y naviguer n’a rien de criminel, mais les malfaiteurs profitent de l’anonymat qu’il procure pour poser des gestes hors-la-loi : pornographie juvénile, vente de drogue, d’armes... ou de données personnelles.

Par exemple, pour 1000 $, l’un d’eux proposait hier des infos pour faire des transactions dans le compte d’une entreprise ayant plus de 3 M$ dans son compte.

Pour 180 $, on y offrait aussi les informations liées à plusieurs comptes « fraîchement détournés » contenant « 1000 à 3000 $ ».

Impossible de savoir si les annonceurs ont de réelles données à vendre sans faire une transaction (ce qui est illégal), mais plusieurs d’entre eux jouissent d’une bonne cote de fiabilité.

Des escrocs bien notés

Les forums où ces criminels revendent ces informations fonctionnent selon un système d’évaluation.

Comme pour les hôtes Airbnb ou les revendeurs sur Amazon, ils sont cotés : s’ils ne livrent pas ce qu’ils ont promis, ils sont punis par de mauvaises critiques.

Les experts consultés expliquent que les données que revendent ces escrocs ont vraisemblablement été récoltées lors de campagnes d’hameçonnage.

« Plein de gens se font spammer avec ce genre de choses, prévient Luc Lefebvre, cofondateur de Crypto.Québec, un organisme d’information sur la cybersécurité. Desjardins est loin d’être la seule visée. Il se vend aussi des comptes Spotify, Netflix... »

Pour fourvoyer leurs victimes, les escrocs envoient des messages texte ou des courriels à des clients pour les diriger vers des sites calqués sur celui de leur institution financière et les pousser à y dévoiler leurs informations personnelles.

Dans la même catégorie