- Equifax (2017) : 147 millions de numéros de sécurité sociale exfiltrés en clair — immédiatement utilisables pour des fraudes à l\'identité qui se matérialisent pendant des années après l\'incident, créant une exposition continue dont le coût s\'étend bien au-delà de la remédiation initiale.
- La valeur marchande des données en clair sur les marchés cybercriminels est structurellement plus élevée que celle des données chiffrées — les premières sont utilisables immédiatement, les secondes nécessitent des ressources de cryptanalyse qui réduisent leur valeur commerciale.
- Les données de paiement en clair (PAN, CVV, date d\'expiration) ont une fenêtre d\'utilisation définie par les mécanismes de détection des fraudes bancaires — généralement quelques heures à quelques jours avant que les patterns anormaux ne déclenchent des blocages.
- Les données d\'authentification en clair (couples login/password) sont utilisées dans des attaques de credential stuffing qui peuvent affecter des centaines d\'autres services où les utilisateurs réutilisent leurs mots de passe.
- Les données médicales en clair constituent la catégorie la plus durablement exploitable — elles ne peuvent pas être changées comme un numéro de carte et servent à des fraudes à l\'assurance, à du chantage ou à des spear phishing ciblés sur des années.
- L\'impact différé des données exfiltrées est systématiquement sous-estimé dans les évaluations de coût des incidents — les fraudes résultant de données volées se matérialisent sur plusieurs années après la violation.
La distinction entre une exfiltration de données chiffrées et une exfiltration de données en clair est fondamentale pour évaluer l\'impact réel d\'une violation. Les données chiffrées exfiltrées représentent un risque différé et incertain — dépendant de la robustesse du chiffrement et des ressources de l\'attaquant pour tenter de les déchiffrer. Les données en clair représentent un risque immédiat et certain — elles sont utilisables sans délai additionnel de traitement.
Cette distinction a une conséquence directe sur l\'urgence de la réponse aux incidents et sur l\'évaluation du préjudice. Une organisation qui a chiffré ses données sensibles dispose d\'un délai pour sa réponse — le temps que l\'attaquant mette à casser le chiffrement, si jamais il y parvient. Une organisation dont les données ont été exfiltrées en clair doit considérer que l\'exploitation est imminente, indépendamment du temps qui s\'écoule entre l\'exfiltration et sa découverte.
La valeur marchande des données en clair
Les marchés cybercriminels structurent leurs prix en fonction de l\'exploitabilité des données. Les données de paiement en clair valides (PAN + CVV + date d\'expiration + nom du titulaire) se négocient à des prix plus élevés que les données partielles ou chiffrées. Les données d\'accès à des comptes financiers avec solde vérifié sont encore plus valorisées. Les données médicales complètes — incluant les diagnostics, les numéros d\'identification, les informations d\'assurance — atteignent les valorisations les plus élevées en raison de leur durée de vie longue et de la multiplicité des usages frauduleux possibles.
Cette structure de valorisation des marchés cybercriminels fournit une base économique pour calibrer les investissements de chiffrement. La réduction de la valeur marchande des données que l\'organisation gère — via le chiffrement — réduit directement l\'incitation économique des attaquants à les cibler et limite l\'impact commercial d\'une exfiltration si elle se produit malgré les défenses.
La violation British Airways de 2018 (500 000 clients, données de paiement via formjacking) illustre l\'exploitabilité immédiate des données de paiement en clair. Le groupe Magecart a exfiltré les données de paiement en temps réel pendant la transaction — sans délai entre la capture et l\'exfiltration. Les données, incluant PAN, CVV et date d\'expiration, étaient immédiatement utilisables pour des fraudes à la carte. Les banques qui ont monitoré les achats frauduleux ont pu identifier le common point of purchase (CPP) — le site British Airways — en quelques jours en détectant les patterns de fraude sur les cartes utilisées sur ce site. L\'absence de chiffrement P2PE dans le processus de paiement côté client avait permis au script malveillant de capturer les données avant leur chiffrement.
L\'impact différé des données exfiltrées
L\'impact d\'une exfiltration de données en clair ne se matérialise pas intégralement au moment de la violation. Les données exfiltrées sont souvent utilisées progressivement par les acteurs cybercriminels, revendues en lots sur plusieurs mois, ou stockées pour des utilisations futures. Cette distribution temporelle de l\'exploitation a des conséquences directes pour l\'organisation : elle doit maintenir des mesures de surveillance renforcée et de support aux personnes affectées pendant une période prolongée, et elle crée une incertitude durable sur l\'étendue réelle de l\'impact.
Les données d\'identité (numéros de sécurité sociale, numéros de passeport, dates de naissance) ont une fenêtre d\'exploitation particulièrement longue — elles ne peuvent pas être "changées" comme un mot de passe ou un numéro de carte, et leur valeur pour les fraudes à l\'identité persiste des années après l\'exfiltration. Les personnes affectées par une telle exfiltration doivent monitorer leur crédit et leurs identités pendant des années — un préjudice qui n\'est pas capturé dans les métriques d\'impact immédiat.
L\'impact du credential stuffing sur l\'écosystème
Les paires login/password exfiltrées en clair sont utilisées dans des attaques de credential stuffing qui affectent bien au-delà du service victime de la violation initiale. Les utilisateurs qui réutilisent leurs mots de passe — une majorité d\'utilisateurs, malgré les recommandations — sont vulnérables à des compromissions de comptes sur d\'autres services non impliqués dans la violation originale. Cette propagation du risque crée un impact en cascade difficile à attribuer et à quantifier dans les évaluations de coût d\'un incident.
La violation T-Mobile de 2021 (50 millions de clients via une API non sécurisée) a exposé des numéros de sécurité sociale, des dates de naissance et des données de permis de conduire en clair. Ces données, immédiatement utilisables pour des fraudes à l\'identité et l\'ouverture frauduleuse de comptes téléphoniques (SIM swapping), ont alimenté une vague de fraudes dans les mois suivant la violation. T-Mobile a mis en place un service de monitoring de l\'identité pour les victimes — un service dont le coût s\'est étalé sur deux ans. L\'impact différé de données d\'identité en clair est documenté dans ce cas : les fraudes se sont poursuivies longtemps après que T-Mobile avait corrigé la vulnérabilité initiale.
L\'impact de WannaCry sur Renault en 2017 illustre un vecteur d\'impact différent des données exfiltrées en clair : la destruction des données via chiffrement par ransomware. WannaCry chiffrait les données des systèmes infectés, rendant les fichiers inaccessibles. Dans ce scénario, c\'est l\'absence de chiffrement contrôlé par Renault qui crée le problème — les données étaient accessibles au malware et pouvaient être chiffrées. Des données déjà chiffrées avec des clés appartenant à Renault (et dont les clés étaient stockées hors des systèmes infectés) auraient résisté au chiffrement par WannaCry — celui-ci aurait chiffré le ciphertext, mais sans changer l\'accès aux données pour Renault qui possède les clés originales.
L\'incident SoftBank de 2023 (employés partageant des informations confidentielles avec ChatGPT) illustre un vecteur d\'impact différent : l\'exposition de données sensibles non chiffrées via des canaux non contrôlés. Les informations partagées avec les services d\'IA générative — potentiellement utilisées pour entraîner les modèles ou accessibles aux opérateurs du service — ne sont pas exfiltrées par un attaquant mais exposées délibérément par des utilisateurs qui ne réalisent pas les implications. La protection pertinente ici n\'est pas le chiffrement des données mais la DLP (Data Loss Prevention) — des contrôles techniques qui détectent et bloquent les transmissions de données sensibles vers des services non autorisés.