Selon le récent rapport de Symantec sur « l´économie de l´underground », le volume du marché de la vente d´identités graviterait aux environs de 276 millions de dollars, dont 59% constitués uniquement par la commercialisation de numéros de cartes de crédit. Si, continue le rapport, ces informations sont toutes correctement exploitées par leurs acheteurs, le volume total du marché « noir » du cybercrime dépasserait les 5 milliards de dollars chaque année. Collectées entre juillet 2007 et juin de cette année, les chiffres recueillis par Symantec sont parfois surprenants. Ainsi, une faille sur un site web du monde financier est vendue en moyenne 740 $, mais peut culminer jusqu´à 3000 $. Un couple carte de crédit/identité, selon son pays de provenance et les garanties de solvabilité, pèse entre 10 et 1000 $. La cote du keylogger oscille aux environs de 23 dollars, le botnet en état de marche se négocie un peu au-delà de 220 $ prix de départ, le serveur smtp sur zombie cote 10 $ pièce.
Ce n´est pas la première fois qu´un professionnel de la sécurité se penche sur l´économie parallèle du hack noir. Le mois dernier, c´était au tour des experts es-contre piratage de RSA de nous décrire ce même jeu du recel d´informations. Des salles de marché où les voleurs d´identité vendent leurs larcins aux enchères, à des escrocs qui tenteront ensuite d´exploiter au mieux ces informations. Ces boutiquiers du login/password ou du « pin number » travaillent généralement à l´abri de toute menace policière. Les gains sont peut-être moins importants que dans le business du faux viagra ou du bidonnage Nigérian, mais les risques de se faire prendre sur le fait sont également inexistants. Ce sont les « grossistes » de l´économie underground, les détaillants ayant, eux aussi, fait l´objet d´une passionnante étude conduite par des universitaires de l´UCSD et de Berkeley.