Votre compte pourrait être en vente sur le dark web — dévoilement de la chaîne complète du vol de données

Chaque fois que vous saisissez un identifiant ou un mot de passe sur une page de phishing, ces informations peuvent être regroupées et vendues sur le dark web pour moins de cent dollars. Ce n’est pas une exagération, mais la réalité d’une filière criminelle entièrement structurée. Cet article retrace le processus complet de collecte, de circulation et d’utilisation des données volées, révélant la face sombre du commerce de données sur l’Internet clandestin.

Comment les données sont-elles volées ?

Avant que l’attaque de phishing ne commence réellement, l’attaquant doit d’abord mettre en place un « dispositif » de collecte de données. Notre analyse de pages de phishing authentiques montre que les cybercriminels utilisent principalement trois méthodes pour récupérer les informations que vous saisissez sur de faux sites :

Première méthode : redirection par email (en voie de disparition)

Après que la victime a rempli un formulaire sur une page de phishing, ces données sont automatiquement envoyées par script PHP à une adresse email contrôlée par l’attaquant. C’est la méthode la plus ancienne, mais elle présente un défaut majeur — délais d’envoi, risque d’interception, blocage du serveur d’envoi. Elle est donc progressivement remplacée par des techniques plus discrètes.

Nous avons analysé un kit de phishing ciblant les utilisateurs DHL. Le script y transférait automatiquement l’email et le mot de passe de la victime vers une boîte spécifique, mais en raison des limitations des emails, ce type d’opération est désormais obsolète.

Deuxième méthode : bots Telegram (de plus en plus populaire)

Contrairement à l’email, l’attaquant insère dans le code un lien API avec un token de bot et un ID de chat. Lorsqu’une victime soumet ses données, celles-ci sont envoyées en temps réel au bot, et l’attaquant reçoit immédiatement la notification.

Pourquoi cette méthode est-elle plus prisée ? Parce que les bots Telegram sont plus difficiles à traquer ou à bloquer, et leur performance ne dépend pas de la qualité d’hébergement du site de phishing. L’attaquant peut même utiliser un bot jetable, réduisant ainsi le risque d’être repéré.

Troisième méthode : panneau de gestion automatisé (la plus professionnelle)

Les groupes criminels plus expérimentés achètent ou louent des frameworks de phishing spécialisés, comme BulletProofLink ou Caffeine, des plateformes commerciales. Ces « plateformes en mode SaaS » offrent un tableau de bord web — toutes les données volées sont centralisées dans une base unique.

Ces panneaux disposent généralement de fonctionnalités avancées : statistiques par pays ou par période, validation automatique de la validité des données, export dans divers formats. Pour une organisation criminelle structurée, c’est un outil clé pour gagner en efficacité. Il est important de noter qu’une même opération de phishing utilise souvent plusieurs méthodes de collecte simultanément.

Quelles données sont exposées ? Leur valeur varie

Toutes les données volées n’ont pas la même valeur. En fonction de leur contenu, elles sont classées en différents niveaux, avec des prix et des usages variés.

Selon une analyse statistique de l’année passée, la répartition des cibles de phishing est la suivante :

• Identifiants de comptes en ligne (88,5%) : nom d’utilisateur et mot de passe. Ce sont les données les plus fréquemment volées, car même une seule adresse email ou un numéro de téléphone ont de la valeur — elles peuvent servir à des attaques de récupération de compte ou à des campagnes de phishing ultérieures.

• Informations personnelles (9,5%) : nom, adresse, date de naissance, etc. Ces données sont souvent utilisées pour des attaques d’ingénierie sociale ou combinées à d’autres pour des escroqueries ciblées.

• Informations bancaires (2%) : numéro de carte, date d’expiration, CVV. Bien que représentant une petite part, leur valeur est la plus élevée, d’où leur protection renforcée.

La valeur précise des données dépend aussi des attributs du compte — ancienneté, solde, activation de la double authentification, moyens de paiement liés, etc. Un compte récent, avec un solde nul et sans 2FA, vaut presque rien. En revanche, un compte vieux de dix ans, avec un historique d’achats conséquent et lié à une vraie carte bancaire, peut valoir plusieurs centaines de dollars.

La stratégie commerciale sur le marché noir : comment les données passent de « vol » à « vente »

Les données volées finissent sur le dark web. Que se passe-t-il alors ? Suivons cette filière clandestine :

Étape 1 : empaquetage et vente en gros

Les données ne sont pas immédiatement exploitées après collecte, mais regroupées dans des archives compressées — souvent contenant des millions d’enregistrements issus de diverses campagnes de phishing ou fuites. Ces « packs » sont vendus à bas prix sur des forums du dark web, parfois pour seulement 50 dollars.

Qui achète ces données ? Pas forcément des hackers qui mènent eux-mêmes des arnaques, mais des analystes de données du dark web — des intermédiaires dans la chaîne d’approvisionnement.

Étape 2 : classification, validation et création de profils

Les analystes traitent ces données. Ils les classent par type (emails, numéros de téléphone, banques, etc.), puis exécutent des scripts automatisés pour vérifier leur validité — par exemple, tester si le mot de passe d’un compte Facebook fonctionne aussi pour Steam ou Gmail.

Cette étape est cruciale, car les utilisateurs ont tendance à réutiliser ou à utiliser des mots de passe similaires sur plusieurs sites. Des données anciennes, issues d’une fuite il y a plusieurs années, peuvent encore ouvrir des accès à d’autres comptes aujourd’hui. Les comptes vérifiés et encore accessibles ont une valeur plus élevée lors de leur revente.

De plus, les analystes relient souvent des données provenant de différentes attaques pour créer des profils complets : un ancien mot de passe d’un réseau social, un login obtenu via un formulaire de phishing, un numéro de téléphone laissé sur un site de scam — ces fragments apparemment sans lien sont assemblés pour constituer un profil numérique détaillé d’un utilisateur précis.

Étape 3 : vente sur le marché noir

Les données validées et traitées sont ensuite mises en ligne sur des forums ou des channels Telegram — ces « boutiques en ligne » affichent prix, descriptions et évaluations, comme dans un e-commerce classique.

Les prix varient énormément. Un compte de réseau social vérifié peut valoir 1 à 5 dollars, mais un compte bancaire en ligne avec un historique long, lié à une vraie carte et avec 2FA activé, peut atteindre plusieurs centaines de dollars. La valeur dépend de plusieurs critères : ancienneté, solde, moyens de paiement liés, statut 2FA, plateforme concernée.

Étape 4 : ciblage précis des cibles à forte valeur

Les données sur le dark web ne servent pas uniquement à des arnaques de masse, mais aussi à des attaques ciblées de type « whale phishing » — visant des cadres, comptables ou administrateurs IT.

Imaginez : une fuite de données chez A entreprise révèle un employé qui a quitté la société, mais dont les infos sont encore accessibles. L’attaquant, via OSINT, identifie sa position actuelle et son email. Il rédige alors un email de phishing imitant le CEO de B entreprise, en citant des détails issus des données achetées — ce qui réduit considérablement la méfiance de la victime. En utilisant cette technique, l’attaquant peut pénétrer plus profondément dans l’organisation.

Ce type d’attaque ne se limite pas aux entreprises. Les cybercriminels ciblent aussi des particuliers avec un solde bancaire élevé ou des documents importants (ex : pièces pour un prêt).

La vérité effrayante sur les données volées

Les données volées sont comme un produit qui ne disparaît jamais — elles s’accumulent, se combinent, se reconditionnent, et sont réutilisées à l’infini. Une fois dans le dark web, vos données peuvent être exploitées pour des mois, voire des années, à travers des attaques ciblées, du chantage ou du vol d’identité.

Ce n’est pas une menace fantasmée. C’est la réalité du monde numérique actuel.

Les mesures de protection à prendre dès maintenant

Si vous n’avez pas encore sécurisé vos comptes, il est urgent de le faire :

Action immédiate (pour éviter la fuite de données) :

1. Utilisez un mot de passe unique pour chaque compte. C’est la première étape essentielle, la plus efficace. Si un site est compromis, vos autres comptes restent protégés.
2. Activez la double authentification (MFA/2FA). Sur tous les services qui le supportent, cela bloque l’accès même si votre mot de passe est volé.
3. Vérifiez si vos données ont été compromises. Consultez des services comme Have I Been Pwned pour voir si votre email apparaît dans des fuites connues.

En cas de compromission :

1. Si votre carte bancaire a été exposée, appelez immédiatement votre banque pour faire opposition et bloquer la carte.
2. Changez rapidement le mot de passe du compte concerné, puis ceux utilisant le même mot de passe.
3. Vérifiez l’historique de connexion, terminez toute session suspecte.
4. Si vos comptes de réseaux sociaux ou messageries ont été piratés, informez vos proches pour qu’ils soient vigilants face à d’éventuelles arnaques à votre nom.
5. Restez prudent face à tout email, appel ou offre inattendue — ils peuvent sembler légitimes, mais sont souvent liés à une exploitation de vos données volées.

Le marché noir du dark web a changé la donne dans la cybercriminalité. Les données ne sont plus un simple butin ponctuel, mais une marchandise réutilisable. La meilleure protection, c’est d’agir dès maintenant, avant qu’il ne soit trop tard.