Un pirate a récemment mis en vente un pack complet de documents d’identité sur le dark web. Une annonce explicite repérée par le site Zataz qui dévoile une réalité inquiétante : la marchandisation industrielle des données personnelles.
Dans une annonce diffusée sur une plateforme cybercriminelle, un pirate se fait vendeur de vies fictives… ou bien réelles. Le pack, proposé pour seulement 100 € en cryptomonnaie, comprend une panoplie de documents personnels et professionnels, suffisamment crédibles pour tromper banques, administrations et employeurs. Ce commerce illégal s’appuie sur des fuites de données provenant directement de logiciels RH d’entreprise. Et il n’est plus question de simples cartes d’identité falsifiées : désormais, c’est toute une existence numérique, méticuleusement reconstituée, qui est vendue à prix cassé. Le site Zataz, spécialisé dans la cybersécurité, a repéré cette annonce glaçante, symptôme d’un système en crise, où les données personnelles sont devenues une monnaie d’échange lucrative.
Le message n’a laissé aucune place au doute. Publié sur un forum du dark web, il s’ouvre sur une promesse directe. « Boutique de vrai document » [traduit en français]. Suit une série d’emojis étrangement festifs accompagnant une description méthodique du produit. Pour 100 €, soit une centaine d’euros, le client reçoit un dossier complet d’identité comprenant une carte nationale d’identité scannée recto-verso, une carte vitale, un contrat de travail en CDI, les trois derniers bulletins de paie, un RIB, un CV… Le tout présenté comme des « documents authentiques et uniques issus d’un logiciel SIRH d’entreprise ». Carte vitale ? Un pirate francophone, sur un site qui ne l’est pas, au premier abord ! Traduction : les données ont été exfiltrées directement d’un système de gestion des ressources humaines, probablement lors d’un piratage ciblé. Les informations sont personnalisées, complètes, et prêtes à l’emploi pour toute usurpation d’identité.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Exploiter les RH
Ce n’est pas la première fois que des cybercriminels exploitent ce type de fichiers. Mais ce qui frappe ici, c’est le professionnalisme de la présentation, la standardisation de l’offre, et surtout, son accessibilité. Pour le prix d’un abonnement téléphonique, n’importe qui peut se procurer une nouvelle identité parfaitement crédible. Le pirate précise que le stock actuel est de 30 dossiers, probablement autant de victimes dont la vie numérique est désormais entre les mains de délinquants.
Des dossiers complets, clés en main, au service de la fraude à l’identité : le cybercrime entre dans une nouvelle ère industrielle.
Derrière cette annonce, se cache une réalité bien plus vaste : celle d’un écosystème clandestin où les données personnelles se vendent comme des produits de consommation. Le dark web regorge de ces offres, mais ce qui distingue celle-ci, c’est la sophistication des documents proposés. Le fait qu’ils proviennent d’un SIRH renforce leur crédibilité. Contrairement aux faux papiers générés de manière artisanale, ces fichiers portent les stigmates du réel : des logos d’entreprise, des mises en page officielles, des informations cohérentes… Tout ce qu’il faut pour franchir les contrôles des banques ou des plateformes administratives. Je vous montrais, il y a peu, cette boutique inquiétante offrant des données piratées par milliards (login:motdepasse:mail) et proposant dans ses options de fabriquer de vrai-faux documents comme des factures, des attestations Assurance Maladie, Etc.
Le risque est multiple. Ces packs peuvent servir à ouvrir des comptes bancaires, demander des prêts, souscrire à des abonnements, louer un logement ou même postuler à des emplois. Les fraudeurs les utilisent aussi pour blanchir de l’argent ou mener des escroqueries complexes. Dans certains cas, ils peuvent même permettre à des individus de prendre une nouvelle identité pour fuir la justice ou contourner des sanctions.
Zataz, qui surveille les mouvements du dark web via son service de veille depuis près de trois décennies, alerte régulièrement sur ce genre de pratiques. Selon nos analystes, ce type de pack constitue désormais une nouvelle norme dans la cybercriminalité. Il s’agit de dossiers complets, livrés avec une attention au détail qui laisse penser à une industrialisation du processus. On est loin du pirate isolé dans sa chambre. Ces opérations nécessitent des complicités en entreprise ou, au minimum, une capacité à infiltrer des systèmes RH de manière répétée. Nous vous parlions de ce type de « pack », en mai 2022, quand les Russes et les Ukrainiens ne souhaitant pas faire la guerre achetez des documents annonçant être étudiants à l’étranger, Etc.
Dans ce contexte, la question de la sécurité des logiciels SIRH devient cruciale. Ces systèmes, utilisés par la majorité des entreprises pour gérer les carrières, les paies, les congés ou encore les informations personnelles des employés, contiennent des données sensibles en quantité. Leur vulnérabilité est une aubaine pour les cybercriminels. Or, beaucoup de ces logiciels ne sont pas conçus pour résister à des attaques sophistiquées. Pire encore, certaines entreprises n’ont pas encore intégré la cybersécurité à leur politique RH. Comme j’ai pu vous l’expliquer dans l’une de mes rubriques sur FranceInfo [Aujourd’hui, c’est demain], les RH sont aussi attaqués par des IA pas toujours trés honnêtes !
« Une carte d’identité, un RIB, trois fiches de paie : tout ce qu’il faut pour voler une vie, vendu à peine plus cher qu’un plein d’essence. »
Le recours aux cryptomonnaies ajoute une couche d’impunité. L’annonce propose des paiements en Bitcoin (BTC) et Litecoin (LTC), deux moyens de transaction très prisés sur les marchés illégaux. Grâce à l’anonymat relatif qu’elles offrent, ces monnaies rendent les transactions intraçables pour les autorités, sauf à mener des investigations lourdes et longues. Les cybercriminels savent que leur zone d’ombre est vaste, et ils en profitent pleinement.
La France n’est pas épargnée. En 2023, plus de 400 000 cas d’usurpation d’identité ont été recensés selon la CNIL. Un chiffre en hausse constante, qui reflète l’explosion de la cybercriminalité ciblant les particuliers. L’utilisation de données RH comme vecteur de fraude montre une évolution inquiétante : ce ne sont plus seulement les banques ou les services publics qui sont dans le viseur, mais aussi les ressources humaines des entreprises privées, trop souvent négligées en matière de cybersécurité.
La lutte contre ce phénomène reste complexe
Si certaines plateformes du dark web sont régulièrement démantelées par les forces de l’ordre, d’autres réapparaissent presque instantanément sous d’autres noms, avec les mêmes vendeurs et les mêmes produits. C’est un jeu du chat et de la souris qui profite aux pirates, toujours plus agiles, organisés et créatifs. Face à eux, les entreprises doivent redoubler de vigilance, sécuriser leurs accès, former leurs salariés et collaborer étroitement avec les autorités.
Pour les victimes, les conséquences sont lourdes. Une fois leur identité compromise, il devient difficile de reprendre le contrôle. Procédures longues, plaintes, blocages bancaires, surveillance renforcée… Certains vivent pendant des mois, voire des années, avec une épée de Damoclès au-dessus de la tête. Et bien souvent, ils ne savent même pas comment leurs données ont été volées. La transparence des entreprises victimes de fuites reste insuffisante, et les notifications tardives n’aident pas les personnes concernées à se protéger à temps.
La petite annonce débusquée par Zataz n’est donc que la partie émergée de l’iceberg. Comme je le dis souvent, nous faisons face au sommet d’un iceberg dont on ne connaît ni la taille ni la profondeur. Elle révèle un trafic organisé, structuré, lucratif. Et elle pose une question dérangeante : jusqu’où ira la banalisation de l’usurpation d’identité dans une société de plus en plus numérisée ? Alors que nos vies dépendent toujours plus de documents dématérialisés, la frontière entre réalité et fiction s’efface, et avec elle, la sécurité de notre propre identité.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
