Si votre compte a de la valeur, il sera piraté

27 Juin 2013

Vous êtes-vous déjà demandé ce qu’un ordinateur piraté, une adresse e-mail ou un autre compte en ligne pouvait valoir ? Bien sûr, il semble évident qu’un compte en banque (ou un compte PayPal) compromis aura une certaine valeur, mais qu’en est-il de Facebook, de Skype ou de la myriade de services en ligne ?

value_title_fr

Il existe au moins deux manières de chiffrer cette valeur. L’une d’entre elles est financière : quelle est la valeur sur le marché d’un compte piraté ? Néanmoins, ces comptes ont aussi de la valeur pour les ingénieurs sociaux. En d’autres termes, comment sont-ils utilisés dans des attaques d’hameçonnage conçues pour compromettre d’autres choses que les pirates convoitent ?

Heureusement pour nous, Brian Krebs, un ancien reporter du Washington Post et un des journalistes les plus respectés de l’industrie, a publié un graphique illustrant la valeur des machines piratés, il y a quelques années sur son site, « Krebs on security ». Il a étudié de nouveau la question plusieurs fois et a même réalisé une évaluation de la valeur que pourraient avoir un compte e-mail piraté ainsi que d’autres comptes. Le SANS Institute a suivi les pas de Krebs et a créé tout une série de langages. Ci-dessous, le document de SANS :

Security Awareness Poster

Commençons par la valeur financière directe de certains comptes évaluée précédemment par Krebs qui c’était basé sur sa tendance à arpenter les forums du marché noir dans lesquels ces comptes sont vendus. Il affirme qu’un important revendeur de ce genre de choses demandent 8$ pour un compte iTunes, 6$ pour les comptes Fedex.com, Continental.com, et United.com, 5$ pour les comptes Groupon, 4$ pour les comptes Godaddy, et 2,5$ pour les comptes Facebook et Twitter actifs. Je suis certain que ces prix grimpent un peu s’il s’agit de comptes appartenant à une cible importante, telle qu’à des diplomates, à des personnalités du monde des affaires, à des célébrités, à des employés du secteur de la défense et autres. Dans une autre étude basée sur une autre plateforme de vente, Krebs a découvert que les comptes Dell, Overstock, Walmart, tesco, BestBuy, Target et autres comptes de vente en ligne valaient entre 1$ et 3$.

Le plus curieux pour ce qui est des comptes PayPal et des comptes bancaires en ligne est que leur valeur n’est pas aussi évidente qu’on pourrait le penser. Disons que vous avez 2000€ sur un compte bancaire ou sur une carte de crédit ou même sur PayPal. La valeur de ce compte devrait être de 2000€, pas vrai ? Et bien non, pas vraiment. Les criminels qui ont compromis ces comptes le font à une échelle plus large. Il est rare qu’ils compromettent et vident eux-mêmes les comptes. Ce serait bien trop de travail et surtout bien trop risqué. Au lieu de cela, ils piratent le compte, et en revendent l’accès sur le marché noir.

J’ai lu plusieurs inculpations et d’autres études décrivant les méthodes de fixation des prix de certains gangs de criminels qui élaborent des crimes allant de la fraude à la carte bancaire à la revente de comptes PayPal piratés. Leur valeur varie grandement, mais la règle générale est que les prix augmentent quand les comptes appartiennent à des américains ou à des européens  et ils sont proportionnels au montant stocké sur le compte. Pour des services qui permettent un lien avec des comptes bancaires ou des cartes bancaires ou une vérification via e-mail, les prix grimperont également. Dancho Danchey, un chercheur en sécurité très reconnu, a écrit un article très intéressant, en février dernier, qui montre comment ces facteurs avaient une influence sur la valeur des comptes PayPal compromis.

Une autre manière populaire de se faire de l’argent à partir d’un compte bancaire compromis est d’utiliser des mules. Dans ce cas, votre compte vaut à peu prêt ce qu’il y a dedans, mais il s’agit d’une technique différente. En bref, les escrocs publient des offres proposant de se faire de l’argent facilement à toute personne qui acceptera de retirer de l’argent d’un compte bancaire et de l’envoyer à l’endroit où se trouve le criminel. Les escrocs qui utilisent ces arnaques ne publient pas d’annonces demandant des mules, mais les personnes qui acceptent ces offres sont utilisées comme mules à leur insu. Bien souvent, elles ne sont même pas payées après avoir déplacé l’argent.

Les comptes de messagerie électronique et les comptes bancaires sont souvent plus difficiles à évaluer car une grande partie de leur valeur dépend du contenu des comptes et de leur propriétaire, ce qui nous permet de faire une transition vers la valeur non-lucrative des comptes piratés. Les comptes de messagerie en ligne sont souvent le canal par lequel tous les autres comptes sont gérés. Quand vous oubliez un mot de passe, vous le réinitialisez à travers votre messagerie électronique. Mes mots de passe sont souvent tellement uniques et tellement compliqués que je n’ai pas d’autre choix que de les réinitialiser par e-mail car je ne pourrais jamais m’en souvenir sinon.

Je fais très attention à la sécurité de mes messageries électroniques et vous devriez faire de même, car si le compte à travers lequel tous vos comptes sont gérés est piraté, vous courez de très grands risques. Je vous recommande de changer vos mots de passe quatre fois par an et de mettre en place toutes les fonctionnalités de sécurité qui s’offrent à vous. L’authentification à deux facteurs mobile est la plus efficace. Je peux réinitialiser le mot de passe de ma boîte de messagerie à travers un appareil mobile et je dispose d’une messagerie secrète avec laquelle je peux restaurer ma messagerie principale dans le cas peu probable où quelqu’un piraterait mon compte et me volerait mon téléphone. Il est de même pour mon compte en banque qui nécessite une deuxième étape d’authentification et dispose d’un mot de passe extrêmement compliqué.

Un compte de messagerie électronique piraté est aussi un danger pour chacun de vos contacts. La même logique peut s’appliquer à tous vos comptes de réseaux sociaux, ils réussiront probablement à les ouvrir, et ça sera de votre faute. Vous devrez vivre avec le fait qu’à cause de vos négligences en matière de sécurité quelqu’un d’autre a également été victime d’un piratage et j’espère que ça vous empêchera de dormir ! Je plaisante, j’espère que vous faites bien attention à votre sécurité et que vous ne rencontrerez jamais ces problèmes.