Au cours de leurs recherches en vue du Mobile World Congress 2024, les experts de l’équipe Digital Footprint Intelligence de Kaspersky ont découvert des quantités stupéfiantes d'identifiants de connexion volés.
En enquêtant sur le marché du Dark Web pour le vol d’informations d’identification sur des sites d'IA et de jeux populaires, les chercheurs de Kaspersky sont arrivés aux conclusions suivantes :
● Au cours des trois dernières années, 34 000 000 d'identifiants de comptes Roblox (logins et mots de passe) ont été compromis par des logiciels malveillants, puis divulgués sur le Dark Web.
● En 2023, le nombre d'identifiants volés à des utilisateurs d'OpenAI a été multiplié par 33 par rapport à l'année précédente, avec 664 000 fichiers contenant des identifiants et des mots de passe, dont des comptes ChatGPT, publiés sur le Dark Web.
● Les identifiants en question ont été volés à l'aide d'infostealers, des logiciels malveillants spécifiquement conçus pour voler les informations de connexion des utilisateurs, infectant les appareils des particuliers et des entreprises en passant notamment par des techniques de phishing, entre autres méthodes.
La vente d'identifiants de connexion compromis représente une part importante du marché du Dark Web. Les cybercriminels achètent et vendent généralement des informations de comptes sur diverses plateformes et services en ligne. Ces comptes sont souvent volés à l'aide d'un malware spécialisé dans le vol de données, puis divulgués sur le Dark Web par le biais de logs d’infostealers, où ils peuvent être monnayés comme les précieux actifs qu’ils sont aux yeux des cybercriminels. Kaspersky analyse les tendances de ce marché et explique comment les entreprises et les particuliers peuvent se protéger contre ces menaces.
Le vol des identifiants de comptes des services d'IA est une pratique courante
Les informations d'identification de divers services d'IA (édition d'images, traduction, optimisation de texte, chatbots et générateurs de voix) sont de plus en plus souvent compromises en raison de leur popularité croissante. Au cours des trois dernières années, environ 1 160 000 identifiants de comptes d'applications (logins et mots de passe) de l'outil de conception graphique Canva, basé sur l'IA, ont été compromis par des logiciels malveillants de vol de données. Les données de l’équipe Digital Footprint Intelligence ont révélé que ces derniers se sont retrouvés sur des forums du Dark Web et des canaux Telegram suspects. Grammarly, un autre assistant basé sur l'IA très populaire, s'est fait voler près de 839 000 identifiants d'utilisateurs entre 2021 et 2023.
OpenAI, un des outils d'IA les plus populaires, a également dû faire face au vol des informations d'identification de ses utilisateurs : près de 688 000 identifiants pour les services de l'entreprise, dont ChatGPT, ont été compromises entre 2021 et 2023, et retrouvées sur des canaux clandestins. Il convient de noter qu’en 2023, année marquée par la généralisation des chatbots, le nombre d'identifiants et de mots de passe ayant fait l'objet d'une fuite a été multiplié par près de 33 par rapport à l'année 2022, pour atteindre un total d’environ 664 000.
Les compromissions d'informations d'identification en question proviennent d'infostealers, des logiciels malveillants conçus pour voler les informations d'identification des utilisateurs à des fins de cyberattaques, de ventes sur le Dark Web ou d'autres activités malveillantes. Les appareils personnels et professionnels peuvent être infectés par des infostealers par le biais d'e-mails ou de sites Web de phishing, de sites publics contenant des fichiers malveillants, entre autres stratégies », explique Yuliya Novikova, Directrice de Kaspersky Digital Footprint Intelligence.
Au-delà du volume conséquent de comptes compromis décrits ci-dessus, le marché des identifiants sur le Dark Web peut être analysé sous l'angle de la demande, notamment en examinant le nombre de messages dans lesquels les acteurs de la menace offrent ou tentent d'acheter des fichiers logs d'infostealers contenant ces informations d’identification compromises. La demande de comptes ChatGPT par les cybercriminels a connu un pic en mars 2023, après la sortie de la quatrième version du chatbot qu’on ne présente plus. Depuis, elle s'est stabilisée au même niveau que les autres outils d'IA. « Cela suggère que la demande en comptes ChatGPT devrait rester stable. Pour se protéger des infostealers, il devient de plus en plus indispensable de mettre en œuvre des solutions de cybersécurité éprouvées, capable de surveiller les comptes compromis sur le Dark Web et d’avertir les entreprises lorsque les données des utilisateurs des outils en ligne ont été compromises », ajoute Yuliya Novikova.
Roblox atteint des records de compromission d'informations d'identification, mettant les enfants en première ligne
Entre 2021 et 2023, près de 34 000 000 d'identifiants pour Roblox ont été compromis et publiés sur le Dark Web, transformant le jeu en terreau très fertile pour les cybercriminels recourant aux infostealers. Le nombre de comptes piratés dans ce jeu très populaire auprès des enfants augmente progressivement chaque année : au cours des trois dernières années, il a augmenté de 231 %, passant d'environ 4 700 000 comptes en 2021 à 15 500 000 en 2023. Le nombre moyen de comptes compromis a par ailleurs augmenté de manière générale, puisque pour 11 autres plateformes de jeux vidéo (dont Twitch, Electronic Arts, Sony PlayStation, Steam, etc.) ont augmenté de 112 % au total depuis 2021.
« Ces volumes élevés de vols d'identifiants de connexion sur Roblox s'expliquent du fait que les enfants sont particulièrement vulnérables à l’ingénierie sociale, et plus susceptibles d’en devenir victimes. Les cybercriminels peuvent par exemple dissimuler des infostealers dans des fichiers contenant des codes de triche pour attirer les joueurs les plus jeunes. Dans certains cas, ces messages peuvent sembler légitimes, dans la mesure où les liens de téléchargement malveillants partagés peuvent être affichés sur des plateformes de réseaux sociaux fiables et populaires comme YouTube. C'est de cette manière qu'un nombre important de comptes de jeu destiné aux enfants se retrouvent compromis. », explique Yuliya Novikova.
Bien qu'il y ait de nombreux cas de vols d'identifiants de connexion sur des comptes Roblox, ce ne sont pas les principaux biens que les cybercriminels traquent sur le Dark Web. Certains comptes sont beaucoup plus attrayants pour eux : par exemple, le nombre de posts sur le Dark Web vendant ou achetant des comptes Steam a atteint un pic d'environ 10 000 entre 2021 et 2023, tandis que moins de 150 annonces concernant des comptes Roblox volés ont été identifiées.
« L’attrait des comptes de jeu pour les cybercriminels vient des objets de valeurs qu’ils peuvent y détourner, qu’il s’agisse d’argent réel, de monnaie in-game ou d’articles monnayables dans le jeu, à l’instar des skins coûteux. Les comptes Steam sont particulièrement attrayants pour les cybercriminels en raison de la possibilité d'y trouver et d'y voler de l'argent réel. Les comptes Roblox peuvent être exploités pour voler des Robux, la monnaie du jeu, des objets du jeu ou pour accéder à des comptes premium qui permettent de transférer des objets vers d'autres comptes. Si les utilisateurs doivent faire preuve de prudence, les propriétaires de plateformes doivent de leur côté renforcer le niveau de protection de ces plateformes en repérant et en bloquant rapidement les comptes compromis par l'intermédiaire de services spécialisés », conclut Novikova.