DataDome

Qu’est-ce que les Fullz ? Comment les hackers et les fraudeurs obtiennent et utilisent les Fullz

Table des matières
Dernière mise à jour : 18 Dec, 2025
|
min

Le terme « Fullz » est un mot d’argot utilisé par les cybercriminels pour décrire un ensemble complet d’informations personnelles. Les fullz peuvent être utilisés pour commettre des fraudes par carte de crédit, des vols d’identité ou effectuer une attaque d’account takeover.

Les hackers et les fraudeurs accèdent aux fullz par divers moyens. Les fullz peuvent être obtenus en achetant des ensembles complets de données personnelles sur le dark web, en faisant du web scraping, en organisant des arnaques ou via des violations de données et des malwares.

Protéger les informations personnelles et les données des clients est essentiel pour toute entreprise. Dans cet article, nous examinerons de près ce que sont les fullz. Nous expliquerons comment les criminels obtiennent et utilisent les fullz et comment vous pouvez empêcher les informations personnelles sensibles de tomber entre de mauvaises mains.

À retenir

  • Fullz est un terme d’argot utilisé par les hackers et les fraudeurs pour décrire un ensemble complet d’informations personnelles.
  • Il peut s’agir d’informations d’identification, des données de carte de crédit, d’informations financières ou de données de santé.
  • Les cybercriminels peuvent acheter des ensembles de fullz sur le marché noir ou les obtenir via des arnaques, des malwares, le piratage de cartes de crédit, du web scraping ciblé ou des attaques d’account takeover.
  • D’ici à 2028, la cybercriminalité devrait augmenter de 69,94 % et représenter une valeur estimée à 13,82 trillions de dollars américains.
  • Vous pouvez prendre des mesures pour protéger vos données personnelles contre le vol par les cybercriminels, les hackers et les fraudeurs. Un logiciel anti-fraude comme DataDome peut garder vos informations personnelles en sécurité.

Que signifie le terme Fullz ?

Fullz est un terme d’argot utilisé par les hackers et les fraudeurs pour décrire un ensemble complet d’informations personnelles structurées d’une personne. Fullz a été utilisé pour la première fois par des fraudeurs à la carte de crédit au début des années 2000. La popularité de ce terme a grandi et il est maintenant couramment utilisé dans le monde criminel numérique. Bien que les origines exactes du terme soient inconnues, on pense qu’il est dérivé de « full information », « full data set » ou « full credentials ».

Il existe différents types de packages Fullz que les cybercriminels obtiennent, achètent et vendent sur le marché noir numérique :

  • Les fullz d’identification comprennent des informations personnelles telles que le nom, la date de naissance, l’adresse, le numéro de sécurité sociale, les détails du passeport, l’adresse e-mail et le numéro de téléphone d’une personne.
  • Les fullz de paiement contiennent l’adresse de facturation d’une personne, les coordonnées bancaires et les informations de carte de crédit telles que le numéro de la carte, le code CVV, la date d’émission et la date d’expiration.
  • Les fullz de santé détaillent les dossiers médicaux et l’historique de traitement d’une personne et contiennent souvent des informations sur les proches de la personne.
  • Les fullz de personnes décédées désignent les données appartenant à une personne décédée ou des informations volées à partir de comptes fermés en raison d’inactivité.

Quel est le prix d’un fullz ? Le prix d’un package fullz varie en fonction du score de crédit de la victime et de l’exhaustivité des données. Des rapports récents indiquent qu’un simple numéro de sécurité sociale peut se vendre à partir de 1 $, tandis qu’un profil fullz complet coûte généralement entre 20 $ et 100 $, et peut atteindre jusqu’à 500 $ pour des cibles à forte valeur.

Deux autres termes utilisés dans le monde trouble des fullz sont « kitz » et « dumps ». Les dumps font référence aux données brutes contenues dans la bande magnétique noire d’une carte de crédit. Le terme « kitz » est utilisé pour décrire des ensembles de fausses pièces d’identité créées à partir de données personnelles volées.

Comment les hackers et les fraudeurs acquièrent-ils des Fullz ?

Les cybercriminels utilisent diverses méthodes pour obtenir illégalement des données personnelles et des informations financières. Du web scraping ou des attaques d’account takeover aux arnaques d’ingénierie sociale élaborées, en passant par l’achat simple de fullz auprès d’autres criminels, il existe de nombreuses méthodes qu’un criminel peut utiliser pour accéder à des informations personnelles sensibles.

Account takeover

Les comptes en ligne contiennent une multitude de données personnelles telles que le nom, les détails d’identification, les informations bancaires et la date de naissance d’une personne. Étant donné que de nombreuses personnes réutilisent les mots de passe, une fois qu’un hacker a pris le contrôle d’un compte, il peut facilement accéder à d’autres. Si un pirate prend le contrôle de l’e-mail d’une personne, il peut souvent accéder à d’autres comptes en ligne en réinitialisant les mots de passe et en interceptant les e-mails d’authentification.

Phishing et spear phishing

Le phishing et le spear phishing sont souvent appelés ingénierie sociale. Un terme plus courant serait une arnaque ou une escroquerie. Les techniques d’ingénierie sociale trompent ou manipulent les gens pour qu’ils divulguent des informations personnelles qu’ils garderaient autrement secrètes.

Violations de données

Les hackers publient souvent de grandes quantités d’informations obtenues en accédant illégalement à des bases de données gouvernementales ou d’entreprises. Une violation de données peut mettre en danger les informations de millions de personnes. Un grand journal américain a récemment été victime d’une attaque de hacking qui a entraîné la divulgation de plus de 270 gigaoctets de données internes, dont une grande partie contenait des informations sensibles d’entreprise et personnelles.2

Credit card skimming

Les informations d’une carte de crédit peuvent être obtenues physiquement à l’aide d’un skimmer de carte. Le skimmer lit les données présentes sur la bande magnétique d’une carte de crédit ou de débit et les transmet à un fraudeur. Ce type de fraude par skimming est souvent difficile à détecter, car les skimmers de cartes sont compacts et peuvent facilement être placés sur un terminal légitime ou dissimulés dans les mains d’un arnaqueur.

Malware

Les malwares (ou logiciels malveillants) peuvent donner accès à vos données à un cybercriminel. Un ordinateur peut être infecté par un malware lorsqu’un utilisateur clique sur un lien ou télécharge une application. Dans certains cas, le malware est caché dans une application utile, ou une personne peut télécharger un malware à son insu et ne pas se rendre compte qu’il fonctionne en arrière-plan.

Web scraping

Bien que le web scraping ne donne généralement pas aux hackers un accès immédiat à un ensemble complet de données, il peut être utilisé pour compiler progressivement un package de fullz. Les bots de web scraping peuvent attaquer le site web d’une entreprise pour obtenir des informations personnelles de base sur les clients ou les employés. Une fois qu’un hacker a ces informations, il peut les utiliser pour les recouper avec les informations obtenues lors de violations de données et rassembler progressivement suffisamment d’informations pour compléter un ensemble de fullz.

Le dark net

Les cybercriminels n’ont pas besoin de savoir utiliser la technologie ou d’être des escrocs expérimentés. Ils peuvent simplement se connecter au dark net et acheter des ensembles de fullz. Le dark net est constitué de sites qui ne sont pas indexés par les moteurs de recherche et ne sont pas accessibles sans l’utilisation de logiciels spécialisés. Les hackers volent des ensembles de fullz et les vendent ensuite sur des places de marché ou des forums du dark net. Le prix des ensembles de fullz sur le dark net varie en fonction de la quantité d’informations contenues dans le package. Les hackers utilisent souvent des cryptomonnaies pour payer les ensembles de fullz.

Vols physiques

Une méthode plus traditionnelle pour obtenir les informations personnelles de quelqu’un est de voler ses documents ou ses biens. Les cambriolages de domiciles personnels, de bureaux gouvernementaux ou d’entreprises peuvent fournir aux criminels de vastes quantités d’informations personnelles qui peuvent être utilisées pour créer des ensembles de fullz.

Comment les hackers utilisent-ils les Fullz ?

Une fois qu’un fraudeur ou un hacker a un ensemble de fullz, il peut l’utiliser pour commettre une série d’actes criminels. Dans la grande majorité des cas, les ensembles de fullz sont utilisés pour des gains financiers.

Certaines des méthodes que les cybercriminels utilisent pour générer des fonds avec des fullz incluent :

  • La fraude par carte de crédit : les ensembles de fullz peuvent être utilisés pour effectuer des transactions frauduleuses en utilisant un numéro de carte de crédit volé ou voler de l’argent via des transferts d’argent.
  • La fraude au prêt : les fraudeurs utilisent les données des fullz pour demander des prêts avec des taux d’intérêt élevés et des conditions d’accès faciles, comme les prêts en ligne ou les prêts sur salaire.
  • L’usurpation d’identité : un ensemble de données de fullz peut être utilisé pour voler l’identité d’une personne. Les fraudeurs peuvent ensuite ouvrir des comptes bancaires, demander des prêts et des cartes de crédit, et obtenir des pièces d’identité.
  • L’account takeover : la fraude par account takeover donne à un hacker accès à des informations personnelles sensibles ou liées à l’entreprise. Le hacker peut ensuite effectuer des transactions frauduleuses en utilisant les détails d’une personne ou de l’entreprise.
  • La fraude à l’identité médicale : de nombreux fraudeurs utilisent des fullz de santé pour commettre des fraudes à l’assurance en faisant des réclamations pour des traitements ou des médicaments que la victime n’a jamais reçus.
  • La fraude au remboursement d’impôts : en se faisant passer pour les autorités fiscales, un fraudeur peut tromper une victime pour obtenir des informations qui peuvent ensuite être utilisées pour déposer une déclaration d’impôts illicite.
  • La fraude de type « achetez maintenant, payez plus tard » : en utilisant un ensemble de fullz, un fraudeur peut créer un faux compte sur un site de commerce électronique, commander un article en utilisant un schéma de paiement différé et ensuite simplement ne pas payer. La victime peut se retrouver responsable de l’article ou voir son score de crédit impacté négativement.

Quel est le coût de la cybercriminalité pour une entreprise ?

Malgré les efforts des forces de l’ordre, la cybercriminalité ne cesse de croître. Rien qu’en 2024, les fraudes par account takeover (ATO) ont coûté environ 15,6 milliards de dollars, soit une augmentation de 23 % par rapport à l’année précédente. 83 % des organisations déclarent avoir subi au moins un incident d’account takeover chaque année, faisant passer cette menace du statut de « risque » à celui d’inévitable pour la plupart des entreprises numériques.

Au cours des cinq prochaines années, les pertes liées à la fraude par carte de crédit devraient dépasser les 43 milliards de dollars. Des chiffres récents indiquent qu’environ 353 millions de personnes dans le monde ont été victimes de vol d’identité. Un rapport a révélé que 77 % des personnes craignaient que leurs informations personnelles puissent être volées par des hackers ou des fraudeurs.

Les entreprises de e-commerce sont de véritables mines d’or pour les hackers et les fraudeurs. Si une entreprise ne met pas en place des mesures de sécurité suffisantes, les hackers peuvent voler des ensembles de fullz dérivés des données de l’entreprise, entraînant d’importantes pertes financières pour les clients et les employés.

Une entreprise ciblée par des cybercriminels peut subir de graves dommages à sa réputation et à la valeur de sa marque, ainsi que des conséquences juridiques sérieuses, y compris des poursuites pénales et civiles pour négligence. Les clients existants peuvent perdre toute confiance dans l’entreprise, et les prospects peuvent être totalement dissuadés. Le coût lié à l’investigation et à la réparation des dommages causés par le vol d’informations personnelles peut mettre une entreprise en péril.

Il est essentiel que les entreprises prennent des mesures pour détecter les activités frauduleuses et empêcher les cybercriminels d’accéder à des données sensibles afin de constituer des ensembles de fullz.

Comment vous protéger contre une attaque par fullz ?

Tous les dirigeants d’entreprise ont l’obligation légale et morale de protéger les informations des clients et les données des employés contre les hackers et les fraudeurs. La protection des données sensibles de l’entreprise nécessite l’adoption de mesures de sécurité internes et externes.

Sur le plan externe, les entreprises devraient toujours mettre en œuvre des formulaires SSL (secure-socket layering) sur leurs sites e-commerce, ainsi que des protocoles de vérification d’identité et des mesures d’authentification à deux facteurs (2FA) ou d’authentification multi-facteurs (MFA). Les conditions générales d’utilisation du site web (TOS) et les fichiers robot.txt doivent clairement interdire le web scraping ou le restreindre à certaines zones.

Des mesures internes peuvent également être mises en place pour éviter que les données ne tombent entre de mauvaises mains. Les équipes doivent être formées à la reconnaissance des arnaques de phishing et des malwares. Disposer d’un logiciel de sécurité robuste et fiable est sans doute le meilleur moyen de protéger les données de votre entreprise.

Le logiciel de gestion de la confiance des bots et des agents de DataDome bloque les bots et agrégateurs qui testent des identifiants volés (fullz) sur vos pages de connexion. Contrairement aux outils traditionnels reposant sur des listes noires d’adresses IP, DataDome analyse l’intention en temps réel — et bloque les fraudes en moins de 2 millisecondes avec une précision de 99,99 %.

Nous bloquons plus de 20 000 attaques par seconde, garantissant que les données volées sur le dark web ne puissent pas être utilisées contre votre plateforme. Des clients comme Patreon ont constaté une réduction de 93 % des comptes touchés par des attaques ATO après avoir mis en œuvre DataDome.

FAQ

Quelle est la différence entre « Fullz » et « Dumps » ?

Fullz désigne un ensemble complet d’informations d’identité (nom, adresse, numéro de sécurité sociale, date de naissance) utilisé pour le vol d’identité. Dumps fait spécifiquement référence aux données numériques brutes volées à partir de la bande magnétique d’une carte bancaire. Ces données permettent de cloner des cartes physiques, mais ne contiennent généralement pas l’ensemble des informations personnelles présentes dans un fullz.

Peut-on acheter des Fullz ?

Oui. Les fullz sont presque exclusivement vendus entre 20 $ et 100 $, les cibles de grande valeur pouvant atteindre jusqu’à 500 $, sur des places de marché du dark web, des canaux de discussion chiffrés (comme Telegram) et des forums de hacking. L’achat ou la vente de ces données est illégal.

Comment les entreprises empêchent-elles l’utilisation de Fullz sur leurs sites ?

Les entreprises ne peuvent pas empêcher la vente de fullz, mais elles peuvent en bloquer l’utilisation. Mettre en place une solution de protection contre l’account takeover permet de détecter quand des bots ou des fraudeurs tentent d’utiliser des identifiants volés pour se connecter ou créer de faux comptes, et de bloquer ces tentatives avant qu’elles ne réussissent.