"Etre capable de voler des données personnelles et de les revendre sur le net sont deux choses très différentes, qui ne sont pas forcément effectuées par les mêmes acteurs", a expliqué Quentin Rossy, professeur en sciences criminelles à l'Université de Lausanne, mercredi à la RTS.
Aux côtés du journaliste de "On en parle", le professeur est entré sur le darknet, ce protocole qui permet de naviguer dans les eaux troubles du web en conservant pleinement son anonymat. On y trouve de nombreux marchés illégaux: matériel pédopornographique, cartes de crédits, drogues en tous genres ou armes, mais aussi données personnelles.
Sur le darknet, on peut acheter les données d'un compte pour un prix allant de 5 à 10 francs.
Dossier médical et compte en banque
Comptes Spotify, Paypal ou encore Netflix, le prix pour un seul pack de données revient entre 5 et 10 francs, note le professeur de sciences criminelles. "Mais on peut aussi acheter 500 comptes Paypal pour 1000 euros".
Au fur et à mesure des recherches, Quentin Rossy a découvert un dossier médical complet (nom, prénom, adresse, e-mail, numéro de téléphone ainsi que date et type de la dernière visite médicale) et des informations de carte de crédit, compte en banque, nom et adresse IP d'un ordinateur d'un citoyen suisse. Ce second pack avait été vendu trois fois depuis juillet au prix de 10 dollars.
"Un pack de données parfait pour usurper l'identité de cette personne", remarque Quentin Rossy. Ces données ont pu être volées grâce à un logiciel malveillant directement installé sur le smartphone ou l'ordinateur ou encore suite au vol ou à la perte de son appareil (voir encadré).
Conseils de base
En Suisse, il n'y a pas de bases de données chiffrées précises sur le nombre de piratage de smartphone ou de vols de données privées sur le net, a expliqué David Rüfenacht, analyste au Centre d'enregistrement et d'analyse pour la sûreté de l'information (MELANI), qui a rappelé quelques conseils de base pour se protéger de ce genre de mésaventures.
Cet été une vague de liens a été envoyée par SMS avec pour but d'installer un malware et de voler des données. Il ne faut jamais cliquer sur un lien dont on doute.
"Il vaut mieux éteindre son bluetooth lorsqu'on ne l'utilise pas, utiliser bien sûr un code pour verrouiller son téléphone et des mots de passe différents pour tous ses comptes numériques. Il est aussi important de maintenir à jour le système d'exploitation de son téléphone ou de son ordinateur. Il ne faudrait non plus jamais cliquer sur un lien que l'on peut recevoir par SMS par exemple et dont on n'est pas sûr de la provenance", conclut-il.
sbad
Pirater un smartphone, pas si difficile
Dans le cadre de l'émission "On en parle", Sergio Alves Domingues, le directeur technique de SCRT, spécialisé dans la sécurité informatique, a démontré comment pirater un smartphone en moins de 20 minutes (écouter le reportage ci-dessus).
Il a suffit au spécialiste d'éteindre le téléphone et de le rallumer dans un mode spécial qui permet sa réinitialisation pour récupérer toutes les données stockées en mémoire dans le téléphone via une carte micro-SD. Le code de déverrouillage du téléphone n'est même pas nécessaire à celui qui sait s'y prendre pour récupérer les données via un logiciel en libre accès.