Selon une étude menée par NordVPN à partir de 75 000 annonces publiées sur des marchés clandestins, les données personnelles et professionnelles s’échangent à des prix étonnamment bas.
Un compte français Office 365 d’entreprise se négocie ainsi à 26,50 dollars, tandis qu’un accès à un portefeuille Coinbase atteint 107,50 dollars. La France figure parmi les pays les plus exposés en Europe, occupant la troisième place pour les données de paiement compromises (derrière l’Espagne et le Royaume-Uni). “Un « fullz » français complet, c’est-à-dire un ensemble contenant suffisamment de données personnelles pour usurper l’identité d’une personne (notamment son numéro de sécurité sociale, sa date de naissance et son adresse), se vend pour seulement 35 dollars”, lit-on dans l’étude.
Ce qui est tendance et ce qui ne l’est pas sur le dark web
Derrière l’apparente hétérogénéité des prix, une logique de marché s’impose : la valeur dépend moins de la sensibilité des données que de leur rareté et de leur potentiel d’exploitation immédiate.
Les cartes de paiement françaises, largement disponibles avec 521 annonces recensées, se vendent autour de 13 dollars. Une identité complète, comprenant les informations nécessaires à une usurpation, plafonne à 35 dollars. Cette banalisation des données personnelles traduit un phénomène d’abondance : plus les fuites se multiplient, plus les prix chutent.
« Chaque compte en ligne que vous possédez à un prix sur le dark web »
Marijus Briedis, directeur technique (CTO) chez NordVPN.
Quelques chiffres
Les dynamiques observées rappellent celles d’un marché classique : plus une donnée est disponible, moins elle vaut. « Les cartes de paiement américaines, qui représentent 70 % de l’ensemble des annonces de cartes disponibles, ne coûtent qu’environ 10 dollars, tandis que les cartes beaucoup plus rares provenant de pays asiatiques plus riches se vendent beaucoup plus cher », lit-on dans l’étude de NordVPN.
« La plupart des gens seraient choqués de savoir à quel point il est peu coûteux pour un criminel d’acheter l’intégralité de leur identité numérique. »
Marijus Briedis, directeur technique (CTO) chez NordVPN.
Les comptes de messagerie d’entreprise restent en tête des cibles. Là où les comptes personnels, vendus en gros, servent « principalement à l’envoi de spams ou à des attaques par bourrage d’identifiants », les comptes professionnels « peuvent permettre aux pirates d’accéder à des systèmes par ailleurs sécurisés ». Un potentiel d’exploitation qui explique leur prix plus élevé.
Les comptes de crypto-actifs figurent également parmi les plus recherchés, avec des prix pouvant atteindre 160 dollars pour certaines plateformes. Une valorisation qui s’explique par leur facilité d’exploitation. « Les cartes bancaires volées peuvent nécessiter des opérations de blanchiment complexes (carding) pour en retirer l’argent, mais les cryptomonnaies ne posent pas ce type de problème », souligne l’étude, ce qui explique que ces comptes soient en moyenne plus chers.
Les réseaux sociaux et services numériques suivent une logique intermédiaire. Un compte Facebook s’échange autour de 38 dollars, tandis qu’un compte Netflix tombe sous les 5 dollars. Là encore, le prix reflète l’usage potentiel plutôt que la nature du service.
Visualiser sa propre valeur sur le dark web
Pour rendre cette économie plus tangible, NordVPN propose un outil interactif capable d’estimer la valeur d’une identité numérique à partir des comptes et documents utilisés. Une manière concrète de mesurer ce que représente, en pratique, un ensemble d’identifiants disséminés en ligne.
