/

CyberVulnérabilité

Usurpation d’identité : Causes et Conséquences d’une menace redoutable

« Les empires les plus florissants ont commencé par l’usurpation. »

Jean Sylvain Bailly

Le mathématicien Jean Sylvain Bailly n’avait pas idée à quel point cette phrase pourrait avoir du sens encore de nos jours. Les cybercriminels semblent, pour leur part, l’avoir parfaitement bien intégrée.

Les « data breaches » font partie des activités les plus importantes dans certains forums du Dark web, et les vols d’identité sont celles qui font sans aucun doute partie des plus lucratives.

Que ce soit en bande organisée ou de manière très opportuniste, les cybercriminels multiplient les actions en diversifiant les cibles et en utilisant des méthodes toujours plus retorses afin de mettre la main sur l’un des graals de la donnée : l’information personnelle.

Femme avec une identité inconnue : usurpation d'identité
Et si vous n’arriviez plus à faire valoir votre identité ?

Définir la notion d’usurpation d’identité

Pour bien comprendre les conséquences d’un vol de données personnelles, il faut d’abord essayer d’en définir le contour.

Selon l’ICO (Information Commissioner Office au Royaume-Uni) une violation de données personnelles est définie comme « une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou autrement traitées ». C’est à la fois très large et très précis. On peut cependant en tirer une classification, dont les 3 catégories principales sont :

La violation de l’intégrité

Elle concerne les faits d’altération non autorisée ou accidentelle des données personnelles. C’est souvent le cas dans l’utilisation frauduleuse de documents officiels comme les papiers d’identité.

La violation de confidentialité

Elle concerne essentiellement les cas de divulgation ou d’accès non autorisé ou accidentel à des données personnelles. Le cas récent de la publication sur le Dark web de millions de données de patients de l’AP-HP ayant été testés pour la COVID-19 est un exemple flagrant.

La perte de disponibilité

Elle fait généralement suite à une perte d’accès ou à une destruction des données personnelles. Chaque attaque par ransomware contre les organisations publiques, financières ou de santé est un triste exemple. Ces cyberattaques ont empêché ces organismes d’accéder aux données de leurs patients ou de leurs utilisateurs, et ont parfois provoqué des drames.

Il est entendu qu’une violation de données ne se limite pas à une seule de ces catégories, et qu’elle peut concerner les trois catégories en même temps. C’est le cas lors d’attaques par ransomware de haut niveau, avec les mécanismes de double, triple ou quadruple extorsion.

Une fois ce contour connu, il reste à savoir ce que l’on entend par « donnée personnelle ». Selon la CNIL, « une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. »[1]

Voici aujourd’hui ce que l’on peut retrouver aisément en vente sur le Dark web :

  • Date de naissance
  • Passeport
  • Numéro de carte de crédit
  • Données biométriques
  • Numéro de sécurité sociale
  • Adresse
  • Documents financiers
  • Photographies
  • Numéro de permis de conduire
  • Numéro de téléphone
ce qu'on peut acheter sur le dark web pour faciliter l'usurpation d'identité d'un individu
Beaucoup d’informations personnelles sont achetables facilement sur le Dark web

Toutes ces données, de nature à permettre l’identification directe ou indirecte d’une personne physique, sont des données à caractère personnel. Elles ont une importance pour les cybercriminels que trop peu de gens soupçonnent encore.

La prise de conscience est-elle réelle face au risque lié à l’usurpation d’identité ?

Voici quelques données statistiques qui donnent à réfléchir quant à la perception que chacun a du risque, et à la façon dont la majorité consent à « offrir » ses informations personnelles.

Selon une étude du Figaro [2] :

  • 65% des Français ne se sentent pas visés par les vols de données personnelles
  • 60% s’estiment bien protégés de cette mésaventure

Pourtant, selon The Trade Desk 2021 :

  • 3 Français sur 4 déclarent ne pas avoir le sentiment de contrôler suffisamment leurs données en ligne.[4] 

Enfin une étude de 2020 du cabinet marketing IntoTheMinds estime que quasi 60% des internautes acceptent les conditions d’utilisation des sites web sans en lire la moindre ligne [5]. Cependant, pour certains, ces conditions sont juste inacceptables : collecte trop large de données (nom, prénom, localisation, adresse e-mail, etc.), utilisation abusive… Les moyens pour protéger ces données collectées sont presque inexistants. Heureusement, depuis 2018, la loi RGPD (Règlement général sur la protection des données) nous protège en Europe. Hélas, cela ne suffit pas, car le risque zéro n’existe pas.

« À l’horizon 2025 on estime que 75 milliards d’appareils seront connectés à Internet, contre 25 milliards en 2019. »[6] Cette explosion du nombre d’équipements exposés conduira inéluctablement à ce que toujours plus de données personnelles soient connectées, disponibles et donc volables. Il semble acquis et normal que notre réfrigérateur aujourd’hui puisse lire nos e-mails et nous prévenir via notre compte Twitter que le beurre sera bientôt périmé…

Le marché de la donnée personnelle est un marché en pleine explosion sur le Dark web. Des zones très spécifiques sont même créées pour permettre aux cybercriminels de faire leur commerce. Voici quelques exemples de ce qui se négocie :

prix d'éléments importants pour l'usurpation d'identité sur le Dark Web
Indices des prix sur le Dark web

Quelles sont les causes de perte ou de vol de ces données ?

Les statistiques le montrent : les causes principales de perte ou de vol sont le manque d’attention des personnes et la surexposition de leurs données personnelles. Malheureusement, elles oublient souvent leur valeur intrinsèque.

Il y a également d’autres raisons, parfois plus techniques, qui peuvent conduire à ces violations de données.

On peut par exemple citer :

  • les faiblesses dans le développement des applications utilisant ces données, qui laissent aux cybercriminels la possibilité de contourner les mécanismes de sécurité
  • la multiplication des zones d’hébergement de ces données, avec une perte de contrôle sur les moyens de protection
  • les environnements de tests des entreprises, laissés à l’abandon après la mise en production, mais toujours disponibles pour les cybercriminels
  • la volonté de simplifier toujours plus la vie des utilisateurs, au détriment des règles élémentaires de protection (Wi-Fi non sécurisé, production de système QR Code pour centraliser des informations sensibles, etc.)
  • le manque de protection de certains sites d’achats en ligne
  • etc.

Les causes possibles sont légion et en faire une liste exhaustive est quasi impossible. Entre les problématiques techniques et technologiques, et le comportement erratique de l’être humain, il est évident que toutes ces données sont non sécurisées. Cette insécurité peut avoir de terribles conséquences.

Les conséquences de l’usurpation d’identité

Le vol ou la perte de données sensibles est l’une des conséquences majeures en cas de cyberattaques. Celles-ci peuvent concerner le patrimoine de l’entreprise, la propriété intellectuelle, le vol de brevet, dans le cadre d’espionnage par exemple.

Il est important aussi de mesurer l’impact que l’usurpation de données personnelles peut avoir sur un individu ou sa famille.

Les conséquences au niveau personnel

Les autres conséquences plus personnelles et moins palpables pour la vie d’une entreprise est l’atteinte de la réputation. Une fois la réputation entachée cela peut entrainer une perte de personnel clé, des relations endommagées avec les clients ou des partenaires commerciaux, une dégradation de l’image véhiculée dans les médias.

Au quotidien, cela peut avoir un impact sociologique, psychologique et même physique.

Se faire voler son identité peut être traumatisant, sans compter le fait qu’il faut ensuite démarrer des démarches pour la prouver et la récupérer. Ce parcours est souvent qualifié « d’enfer » par les victimes qui mettent parfois plusieurs années pour retrouver la pleine jouissance de leur identité.

Les conséquences psychologiques, sociales et physiques de l’usurpation d’identité

Les conséquences psychologiques et sociales ne sont pas les seules. D’autres, tout aussi dévastatrices, peuvent se manifester.

Les conséquences juridiques

La recrudescence des risques cyber oblige les entreprises à passer d’une politique de sécurité à une politique de sûreté. Elles vont donc devoir prévoir un arsenal juridique comme une assurance ou des clauses contractuelles avec leurs partenaires. En cas d’attaque, elles se retrouvent à la fois victime (responsabilité administrative, déontologique, pénale, vis-à-vis de la loi RGPD) et responsable. Elles ont donc tout intérêt à se protéger.

Les conséquences financières

L’impact financier est la première chose à laquelle nous pensons en cas d’attaque cyber.

Mais les frais indirects sont parfois occultés (par exemple, les frais d’enquête). On oublie que la perte d’exploitation entraine des coûts de récupération liés à la réparation ou au remplacement de réseaux et d’équipements endommagés.

Les conséquences impalpables dues à la perte d’opportunité ou de confiance peuvent également entraîner le gel de la compétitivité d’une entreprise, voire de sa rentabilité. Il ne faut pas occulter ce coût indirect qui est difficile à estimer dans la plupart des cas.

La violation de données : un sujet complexe

La violation de données est un sujet complexe car elle entraîne dans son sillage une multitude de complications techniques, juridiques, financières et psychologiques. Évidemment, au-delà du bon sens, il existe un certain nombre de mesures simples à appliquer et qui relèvent de ce que l’on appelle « l’hygiène informatique ». Certaines d’entre elles sont parfaitement expliquées par le site institutionnel cybermalveillance.fr. D’autres mesures sont plus d’ordre technique.

Les technologies qui offrent une approche complète, ou qui se concentrent sur la protection des mobiles par exemple, en font partie. La TEHTRIS XDR Platform, ainsi que TEHTRIS MTD notamment, permettent en effet de protéger ses équipements de tout comportement déviant, et sont un premier rempart efficace contre la perte de contrôle des données.

[1] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/

[2] https://www.cnil.fr/fr/definition/donnee-personnelle

[3] https://www.lefigaro.fr/actualite-france/2011/10/05/01016-20111005ARTFIG00700-usurpation-d-identite-les-francais-inquiets.php

[4] https://comarketing-news.fr/lost-in-data-les-francais-ne-se-sentent-plus-maitres-de-leurs-donnees/

[5] https://www.intotheminds.com/blog/statistiques-rgpd-europe/

[6] A l’horizon 2025 on estime que 75 milliards d’appareils seront connectés à Internet, contre 25 milliards en 2019.