Fuite de données : plus de 250 000 Français vendus 10€

Une boutique en ligne commercialise plusieurs centaines de milliers de documents privées et sensibles appartenant à des automobilistes Français. Pour quelques euros : carte d’identité, permis de conduire, Contrôle technique, RIB, …

Il y a plusieurs mois je vous montrais en exclusivité plusieurs boutiques pirates commercialisant des données bancaires de Français. Une vente orchestrait comme dans un supermarché virtuel. Il suffisait de rentrer un code postal et de payer quelques euros pour accéder, par exemple, au compte du client infiltré, à ses courriels, …

Depuis, les boutiques ont évolué. Comme j’ai pu vous le révéler, des boutiques spécialisées dans la vente de célibataires. La dernière boutique en date que j’analysais pour une conférence donnée en Martinique, voilà quelques jours, affichait dans ses descriptifs d’avant vente, en plus de la banque, du code postale de la victime, le nom de famille de cette dernière [ma capture écran ci-dessous].

Aujourd’hui, une autre boutique pirate. Cette fois, ce portail black market affiche une proposition commerciale encore plus ciblée : des documents administratifs de centaines de milliers de Français. Pour 10 euros, les blacknautes (escrocs, voleurs de voiture, …) peuvent acquérir l’identité complète d’une personne avec, selon les options, numéros de téléphones, adresses électroniques, code postal, date de naissance, adresse postale, informations bancaires de type BIC/RIB, permis de conduire, carte d’identité, …

Spécialisation automobile

Comme l’écrit le pirate « Nous vendons des packs de documents, tous les documents sont réels. » et il en a beaucoup ! 255 000 exactement. D’où proviennent ces documents ? « Nous ne souhaitons pas préciser la source de ces documents. » précise-t-il. Un garagiste ? Un assureur ?

Parmi ces documents administratifs, le parfait nécessaire du « maquilleur » de voitures volées avec des milliers de certificats d’immatriculation, de relevés d’information d’assurance, de cartes grises, de type et marque de la voiture de l’internaute piraté, les contrôles techniques …

A la vue ds fautes et de certaines erreurs que je ne citerai pas ici, l’instigateur de cette vente ne semble pas Français. Le site est proposé en Anglais et Français. Il passe par Tor afin de cacher sa géolocalisation. Une version web existe, cachée derrière l’anonymat (tout relatif) du service proposé par la société américaine Cloudflare.

Les ventes se font en cryptomonnaie (Bitcoin). Un service aprés vente est disponible. Il indique permettre un remboursement « si un des documents est illisible ou expiré« . Les 255 000 packs vendus ne le seraient qu’une seule fois, afin de promettre une fraîcheur et exclusivité à l’acheteur. Une boutique aux 0days administratifs qui pèsent tout de même 2 550 000 euros !

Le service veille ZATAZ à sous surveillance plusieurs milliers de sites pirates officiant dans le darknet comme sur le web : black market, forums, réseaux sociaux (Télégram, Discord, …). Le Service Veille ZATAZ vous permet d’être alerté en cas de fuite d’une de vos informations (comme via ce genre de site). Il aide à mettre en place les actions de contre mesure et de dépôt de plainte auprès des autorités compétentes en France, Belgique, Luxembourg ou encore Québec.

Ce que dit la loi

Nous avons à faire dans ce cas à du recel de vol. De la transmission, vente mais aussi détention et achat d’un pack aux contenus que l’on sait issue d’un vol. L’article 321-1 code pénal indique dans son alinéa 1er «Le recel est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit ». Comme le rappel le site « Service Public » Français, une personne ayant acheté un objet qui s’est avéré volé peut être considérée de bonne foi si elle prouve qu’elle ignorait l’origine illégale du bien. Autant dire que dans ce cas, c’est un peu raté ! Le recel est puni de 5 ans de prison et 375 000 € amende.