Passer au contenu

Numéros de CB, drogue, malwares : les prix des produits interdits sur le Dark Web

Des chercheurs en sécurité ont analysé le fonctionnement du marché noir sur le Dark Web, avec à la clé des fourchettes de prix. Certaines données se négocient à des prix vraiment très bas.

Google gagne des milliards de dollars en collectant nos données personnelles. Mais que valent nos vies privées sur le Dark Web, cette zone interlope de la Toile accessible par Tor ou I2P où peuvent s’échanger des biens et des services illégaux ? Eh bien pas grande chose, comme viennent de le constater les experts en sécurité informatique de l’éditeur GData, qui se sont plongés pendant plus mois dans les bas-fonds du web. Pour mener leur enquête, ils ont écumé des places de marché telles que SilkRoad Reloaded, DeepBay, Pandora ou Agora.     

Ainsi, les adresses e-mail valides se vendent par lots de 100.000 ou plus. Comptez 75 euros pour un million d’adresses email. Si ce prix est tellement bas, c’est en raison de l’offre et de la demande. Or, les mails, ça se trouve partout. Ils sont l’ingrédient de base de l’activité cybercriminelle et permettent de réaliser des campagnes de spam ou de hameçonnage.

Les accès de comptes email – identifiants et mots de passe – sont des denrées déjà plus chères, sans être pour autant très onéreuses. Comptez 20 euros pour un lot 40.000 comptes. Avec ça, un cybercriminel a déjà plus de possibilités. Il peut usurper des identités pour réaliser des escroqueries plus évoluées. Il peut également se servir d’un compte pour accéder à d’autres services en ligne, car la remise à zéro d’un mot de passe se fait généralement au travers d’un compte email.       

Le cybercriminel qui veut encore moins se fatiguer peut aussi acheter des données financières prêtes à l’emploi. Ces produits s’achètent à l’unité et se payent nettement plus cher. Comptez 50 euros en moyenne pour les données d’une carte bancaire française internationale (Visa ou Mastercard par exemple), les accès d’un compte Paypal ou les accès d’un compte bancaire. A ce prix-là, les données doivent évidemment être vérifiées.

Mais le Dark Web ne permet pas seulement d’acheter des données numériques. On y trouve aussi des produits matériels illégaux. Armes, drogues, faux papiers et équipements de « carding » figurent généralement en tête de gondole dans cette catégorie. Les prix sont très variables. Une fausse carte d’identité d’un pays européen se négocie aux alentours de 1.000 euros. Pour un passeport, il faudra verser 4.000 euros. Un gramme de cocaïne de qualité, provenance Amérique du sud, se négocie à partir de 75 euros. Un gramme d’ecstasy avec taux de pureté de 84 % vaut 19 euros.

Quelques produits illégaux disponibles sur le Dark Web
Quelques produits illégaux disponibles sur le Dark Web

Enfin, le dark web est aussi l’endroit où les cybercriminels achètent leurs propres outils : codes de logiciels malveillants, réseaux de botnet, exploits, ransomware… Tout peut plus ou moins s’acheter. Parmi les produits d’entrée de gamme figure le « RAT » (Remote Access Tool), un cheval de Troie qui permet d’accéder à une machine à distance pour, par exemple, faire de l’espionnage ou du vol de données.

Parmi les produits les plus chers figurent les « exploits kits » tels que Blackhole (qui n’existe plus) ou Nuclear. Ce sont des plateformes logicielles qui référencent les vulnérabilités et mettent en œuvre leur exploitation. Il n’en existe qu’une dizaine sur le marché noir, étant donné la complexité du travail. Plus les vulnérabilités exploitées sont « fraiches » et de qualité, plus le logiciel est cher. Les failles les plus demandées sont celles relatives au PDF, aux navigateurs web ou aux applications Java. Le prix de la licence logicielle peut, dans ce cas, aller jusqu’à 2.000 euros par mois.

Et comme tous les cybercriminels ne sont pas des brillants informaticiens, il existe aussi tout un tas de services à la demande, comme le ferait un véritable éditeur de logiciel : attaque DDoS (10-200 euros par heure), spam (5 euros pour 20.000 envois), installation de bot (50 euros pour 1000 PC), hameçonnage (20 euros le kit de création), obfuscation d’un malware (10 euros), test de détection antiviral (30 euros par malware), etc.  « Le marché noir de la cybercriminalité est très dynamique. Un nouvel acteur peut émerger en quelques jours s’il propose quelque chose d’intéressant. Le bouche à oreille fonctionne très », souligne Eric Freyssinet, président du comité d’organisation de BotConf, une conférence spécialisée sur les botnets. Dans le dark web, le chômage n’existe pas.

Ci-dessous, l’étude complète de G Data:

Livre Blanc Gdata Blackmarket 2015

Lire aussi:

Condamné à perpétuité, le créateur de Silk Road, l’eBay de la drogue, fait appel, le 06/06/2015

 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn