En une semaine, explosion du nombre de victimes de la pire des cyberattaques
A l’image de l’exploitation des données de la CAF dérobées le 12 février dernier et dont on se rend compte maintenant que des comptes ont été compromis et utilisés à des fin malveillantes (annonce CAF du 23 février), le vol des données des intermédiaires du tiers payant commence à être exploité.

Pragmatiquement, voici les chiffres :
• 16 février : 96000 usurpations
• 22 février : 124000 usurpations
• 23 février : 164000 usurpations
• 26 février : 217000 usurpations
Et nous ne sommes que sur la vente des données d’environ 300 000 personnes... et il reste encore 32,7 millions de personnes dont les données n’ont pas encore été vendues, les enchères étant en cours sur le Dark Web.
Comme vous le savez, lors d’un vol de données, ce n’est pas le vol en lui-même qui est le plus dommageable mais bel et bien l’exploitation de ces données. Et ici, on parle du début de l’exploitation des données de la moitié des Français ! Et cette progression est exponentielle !
Ainsi que vous le savez également, ces informations dérobées, bien que semblant anodines, ouvrent la porte à des risques d’usurpation d’identité bien plus graves et dommageables que le simple vol de coordonnées bancaires.

Quelles utilisations peuvent être faite de ces données ?
Dans les éléments qui ont été transmis par la CNIL, l’une des données volées est le numéro de sécurité sociale de 33 millions d’assurés.
A priori, on pourrait penser que c’est sans grand risque. Et pourtant...
Même s’il ne paye pas de mine, ce numéro est bien plus précieux qu’un numéro de carte crédit, car il est la voie royale pour procéder à la pire des attaques cybercriminelles : l’usurpation d’identité. Cette « attaque » a alors des conséquences très lourdes (plus aucun accès à ses comptes majeurs mails, banques, souscription de prêts auprès de néo-banques américaines en pleine nuit...).
De plus, le numéro de sécurité sociale, une suite de 13 chiffres, est une information sensible qui peut être utilisée pour accéder à divers services publics et contenir des informations personnelles.
Comme chacun le sait, en France, le premier chiffre du numéro révèle le genre de la personne (1 pour un homme, 2 pour une femme), ainsi que l’année et le mois de naissance, et le département de naissance. Avec ce numéro, un malfrat peut ainsi accéder au compte en ligne de l’Assurance Maladie, qui contient également des informations bien plus confidentielles.
De plus, grâce au système FranceConnect, le numéro de sécurité sociale peut être utilisé pour accéder à d’autres services publics, tels que celui des impôts.
Cela signifie qu’un cybercriminel disposant de ce numéro pourrait accéder à tous les documents administratifs d’une personne et facilement enrichir le reste des données d’une victime sur le darkweb (mails, téléphone) afin de procéder à des usurpations d’identité

« A ce stade, les numéros de sécurité sociale n’ont pas encore été tous vendus à des cybercriminels qui les exploitent. Pour procéder à des usurpations d’identités ces derniers ont besoin d’enrichir leurs données qu’ils ont récupérées. Il est donc essentiel pour le citoyen de se tester au plus vite », recommande Laurent Amar, Président de Franceverif.fr. « L’objet du test gratuit que nous proposons, grâce au financement de l’État, est justement de ne pas permettre aux cybercriminels d’accéder à ces informations personnelles et ainsi d’éviter le pire. Si des données personnelles présentes sur le Dark Web sont effacées, l’attaque devient de fait inopérante ».