Imaginez que votre nom, votre numéro de téléphone, votre adresse, votre niveau de revenu approximatif et même vos habitudes de dépenses circulent sur Internet dans marchés clandestin Il ne s'agit pas d'une dystopie futuriste, mais de la réalité de millions d'utilisateurs ordinaires… une réalité si proche que, comme l'a reconnu un policier spécialisé dans la cybercriminalité dans des déclarations à El País, il s'est déjà retrouvé lui-même dans six bases de données volées différentes.
Il arrive que, depuis des années, nous associions le vol de données à des pirates informatiques étrangers sophistiqués, travaillant souvent pour des puissances étrangères… et, cependant, les enquêtes policières les plus récentes démantelent ce mythe : une bonne partie des données volées en Espagne sont volées par de jeunes Espagnols et achetées, dans de nombreux cas, par d'autres Espagnols.
Crime du quotidien : quand l'agresseur ressemble à votre voisin
L'un des aspects les plus inquiétants du phénomène est sa normalisation sociale : selon des recherches, bon nombre des responsables de ces vols et ventes de données sont des adolescents ou des jeunes qui ont commencé « par curiosité », partageant des scripts et des vulnérabilités sur des forums, se faisant concurrence comme quelqu'un collectionnant des succès dans un jeu vidéo.
Ce profil rompt avec l’image classique du criminel professionnel. Il n’y a pas toujours une grande organisation criminelle derrière cela, mais plutôt des individus qui opèrent le week-end, lorsque les entreprises baissent la garde, profitant de systèmes obsolètes ou de mauvaises pratiques de sécurité.
Le « nouveau pétrole », ce ne sont pas les données mais le profil
On dit souvent que « les données sont le nouveau pétrole », mais cette métaphore est insuffisante : la vraie valeur ne réside pas dans un numéro de téléphone isolé ou une adresse postale vague, mais dans la capacité de rassembler des éléments épars pour construire un profil complet d'une personne. Un profil qui nous permet de savoir non seulement qui vous êtes, mais aussi comment vous pensez, ce que vous craignez et quelles décisions vous pourriez prendre sous pression.
Ainsi, les bases de données volées ne se limitent plus à des listes de diffusion chaotiques. De plus en plus, des packages « enrichis » sont vendus : des informations croisées provenant de différentes fuites qui permettent de déduire si vous disposez d'une voiture, d'une assurance maladie, d'un crédit immobilier, d'enfants ou d'une certaine capacité économique.
Cette agrégation transforme la vie de chaque utilisateur en un produit transformé prêt pour des escroqueries personnalisées, des campagnes de manipulation ou même une surveillance ciblée.
Qui achète nos données ?
L’utilisation la plus évidente de ces bases de données est la fraude : avec des informations personnelles précises, les fraudeurs peuvent envoyer des messages ou passer des appels qui semblent légitimes. Ainsi, en connaissant le nom de la victime, sa banque ou sa compagnie de téléphone, la tromperie devient bien plus crédible.
Mais tout ne se réduit pas à des arnaques directes. Les données volées sont également utilisées par des entreprises qui opèrent dans une zone « grise » comprenant des campagnes marketing agressives, des offres commerciales ciblées ou des pratiques de concurrence déloyale.
Et enfin, il existe même des entreprises légitimes qui achètent ces bases de données à des fins défensives, comme pour vérifier si les informations de leurs propres clients ont été compromises : le problème est que cet écosystème est opaque et difficile à contrôler, ce qui facilite les abus et les utilisations illégitimes.
Un crime lucratif, une peine limitée
Le vol massif de données est extrêmement lucratif : même si une seule base de données ne se vend pas toujours à des chiffres astronomiques, les enquêtes policières ont découvert des portefeuilles de cryptomonnaies contenant des millions d'euros accumulés grâce à de multiples petites ventes. De plus, les coûts pour l'attaquant sont relativement faibles : une fois qu'une vulnérabilité est identifiée, l'accès peut être répété avec peu d'effort supplémentaire.
Malgré cela, les sanctions associées à ces crimes restent relativement faibles, par rapport à l'impact social généré. Cette disproportion soulève un dilemme juridique et moral : traitons-nous le vol d’identité numérique avec le sérieux qu’il mérite ?
Cependant, pour de nombreuses victimes, les conséquences durent des années, avec des tentatives constantes d'escroquerie, d'usurpation d'identité ou de harcèlement, sans véritable moyen de « restaurer » leur vie privée.
Où est la solution ?
Il est tentant de penser que la solution réside uniquement dans plus de police ou dans une meilleure technologie, mais le problème est aussi culturel et institutionnel : nous continuons à transmettre des données personnelles aux entreprises (et à l'administration publique, même si nous n'avons pas le choix) sans nous demander pourquoi elles en ont besoin ni comment elles les protègent, tandis que de nombreuses violations de données se produisent en raison de pannes fondamentales : équipements non mis à jour, succursales oubliées, systèmes existants auxquels personne n'ose toucher, etc.
Vous devez vivre en supposant que vos données ont déjà été divulguées
La leçon la plus difficile que nous devons tirer est peut-être que nous devons supposer que la fuite de nos données a peut-être déjà eu lieu ; Même si cela ne signifie pas démissionner, mais plutôt agir avec plus de conscience : savoir que vos données peuvent être disponibles vous oblige à être extrêmement prudent, à vous méfier des messages « trop bien informés » (combien de fois a-t-on entendu cela à propos de « Ce ne pouvait pas être une arnaque : ils connaissaient toutes mes coordonnées »?) et d’exiger des responsabilités de la part de ceux qui gardent nos informations.
Par | Le pays
