Ces derniers mois, la France a subi une explosion des cyberattaques. Plusieurs groupes de hackers ont orchestré des vols de données à l’encontre d’opérateurs, d’enseignes, d’entreprises ou d’agences dépendant de l’État français. Ces informations ont été exfiltrées en se servant de comptes compromis, d’identifiants piratés ou de vulnérabilités dans des logiciels tiers.
Dans de nombreux cas, les données volées ont été mises en vente sur des marchés noirs. Parmi les marchés noirs préférés des cybercriminels, on trouve BreachForums. Contrairement à d’autres forums fréquentés par des hackers, BreachForums n’est pas réservé au dark web. Pour se rendre sur la plateforme, vous pouvez vous servir d’un navigateur web classique. Pas besoin d’installer le navigateur Tor pour ouvrir une adresse onion. Le forum dispose cependant d’une version onion sur le dark web, au cas où la version destinée au clearnet est bloquée par la police… ce qui arrive très régulièrement.
L’histoire de BreachForums
RaidForums, le précurseur de BreachForums
BreachForums a vu le jour en mars 2022, sur les cendres de RaidForums, un forum criminel qui était devenu incontournable pour les pirates. Lancée en 2015 par un jeune hacker portugais, Diogo Santos Coelho, alias « Omnipotent », la plateforme servait initialement à organiser des raids sur Twitch. Rapidement, RaidForums est devenu le repaire de prédilection des pirates en quête d’outils de piratage, de données volées et de tutoriels pour des activités illicites.
Le forum a également servi à des opérations de swatting, c’est-à-dire piéger des internautes en leur envoyant des forces spéciales de la police. Le forum a promptement attiré l’attention des forces de l’ordre. En 2022, le forum a été fermé par les autorités, et « Omnipotent » a été interpellé au Royaume-Uni. Comme l’expliquait Interpol au moment de la chute de la plateforme, « RaidForums était considéré comme l’un des plus grands forums de piratage au monde avec une communauté de plus d’un demi-million d’utilisateurs ».
Le BreachForums original
Pour combler le vide laissé par RaidForums, un individu du nom de Conor Brian Fitzpatrick a ouvert BreachForums peu après la fermeture. Le créateur du forum, caché sous le pseudonyme de « pompompurin », a vite fait de BreachForums, parfois surnommé Breached, le nouveau repaire de choix des cybercriminels. En un an, il a permis aux hackers de publier des bases de données volées auprès d’un millier d’entreprises et de sites Internet. Le forum comptait plus de 300 000 membres inscrits.
En mars 2023, le fondateur de Breached est tombé entre les mains du FBI. Les enquêteurs ont réussi à découvrir l’adresse IP du jeune homme, ce qui a permis de remonter jusqu’à lui. Les autorités fédérales ont inculpé Fitzpatrick, un citoyen américain âgé de 21 ans, de « préparation à la commission d’un délit d’effraction dans un système d’informatique ». Interrogé par le FBI, il a rapidement reconnu les faits qui lui sont reprochés.
La renaissance de BreachForums
Trois mois plus tard, un des complices de Fitzpatrick, un hacker appelé Baphomet, prend la relève. Il rouvre les portes de BreachForums avec l’intention de rendre ses lettres de noblesse au forum en misant sur une approche communautaire. La plateforme ne tiendra pas un an avant d’être saisie par le FBI. En mai 2024, les agents fédéraux ont en effet organisé une opération coup de poing contre BreachForums à la suite d’une série de ventes de données, dont celles d’Europol, l’agence de police européenne.
Cette fois, il n’aura fallu que quelques jours à BreachForums pour revenir d’entre les morts. C’est un gang de cybercriminels du nom ShinyHunters qui a pris la tête du forum. Le gang s’était associé avec Baphomet en amont de l’offensive du FBI. Spécialisé dans les vols de données, le gang est donc à la tête de la dernière version en date de BreachForums.
De son côté, Baphomet a disparu, vraisemblablement à la suite d’une opération de police. Aux dires de ShinyHunters, celui-ci a en effet été arrêté par le FBI dans le sillage de la dernière fermeture de BreachForums. Pour gérer le forum, le gang travaille maintenant avec une série de différents pirates, dont le vendeur de données IntelBroker.
Que trouve-t-on sur BreachForums ?
Le FBI décrit BreachForums comme un « marché à ciel ouvert » qui permet « aux cybercriminels d’acheter, de vendre et d’échanger des identifiants volés, des outils de piratage, des bases de données piratées et d’autres produits illégaux ». Le forum est composé de plusieurs sections, à savoir une catégorie consacrée aux fuites, aux discussions générales et aux marchés. Dans la section des fuites, les pirates mettent en ligne les informations ou des outils divulgués gratuitement. Il n’est pas rare que des hackers partagent les informations ou les outils en leur possession sans chercher de rémunération.
En fouillant sur le forum, nous avons déniché des répertoires de données relatives à Twitter, Facebook, de plusieurs agences gouvernementales, ou encore des coordonnées bancaires. C’est une véritable mine d’or pour les cybercriminels qui cherchent à orchestrer des cyberattaques. Évidemment, les pirates doivent faire du tri. On trouve à la fois des données récentes ou des informations totalement obsolètes. Le forum pullule aussi de liens cassés.
C’est aussi the place to be pour tous les apprentis pirates. On trouve en effet de nombreux tutoriels pour apprendre à organiser des piratages, des arnaques ou des escroqueries en tous genres. Par exemple, on a pu consulter des tutoriels sur la meilleure manière de blanchir de l’argent ou des cryptomonnaies en ligne, en restant totalement anonyme.
BreachForums regorge aussi d’outils taillés pour faciliter les hacks. On a notamment découvert des logiciels capables de siphonner les cookies d’un navigateur, coder un virus taillé pour Windows, ou des kits de phishing. Ces kits permettent de concevoir des messages d’hameçonnage très facilement, en usurpant des entreprises connues. Moyennant finances, un hacker en herbe peut trouver tout ce dont il a besoin : du code, des images, du texte ou encore des scripts malveillants.
Les hackers qui monétisent les données en leur possession doivent se rendre dans la catégorie marchés. C’est là que les pirates, dont les hackers de Nears, ont publié les annonces de mises en vente des données volées à SFR et consorts. Dans cette section, les lots sont mis aux enchères au plus offrant ou échangés contre des crédits, la monnaie en cours sur BreachForums.
Le site offre un système d’escrow. Massivement adopté par les plateformes criminelles, ce mécanisme permet de sécuriser les échanges commerciaux entre pirates. Concrètement, BreachForums va conserver les fonds jusqu’à ce que l’acheteur confirme que tout est ordre. Une fois que c’est fait, le vendeur reçoit l’argent. Il est aussi possible de régler des achats en passant par des crédits, achetés en amont auprès des administrateurs du forum. Très souvent, certaines transactions se poursuivent hors du forum, sur Telegram par exemple, et aboutissent à des transferts en cryptomonnaies.
D’un point de vue de la structure et de l’interface, BreachForums est très proche de ses prédécesseurs et d’autres forums populaires dédiés au piratage, comme Nulled. Le site a d’ailleurs été construit et conçu pour que les usagers de RaidForums puissent s’y retrouver.
Bien que BreachForums soit un marché noir criminel, avec une panoplie de contenus illégaux, il ne tolère pas la présence de pornographie infantile. Dans un message publié l’été dernier, Baphomet se veut d’ailleurs le plus clair possible en indiquant « que si vous êtes pédophile, vous n’êtes pas du tout le bienvenu ici » :
« Nous n’autorisons pas votre comportement dégénéré sur notre forum et quiconque le fait ou l’encourage sera banni de manière permanente ».
Le pirate a d’ailleurs été choqué d’apprendre que son ancien complice, Conor Brian Fitzpatrick, a été inculpé pour détention d’images pédopornographiques à la suite de son arrestation. Par ailleurs, le forum n’est pas non plus prévu pour la vente de drogues ou d’armes.
À lire aussi : Une fuite de données frappe BreachForums, le repaire des cybercriminels
Comment fonctionne BreachForums ?
Pour régir l’accès aux nouveaux membres, le forum a mis en place des restrictions. Tout d’abord, vous êtes obligé de poster un commentaire pour avoir accès aux données qui sont partagées gratuitement par les membres du forum. Vous n’avez droit qu’à un certain nombre de commentaires avant d’être bloqué et d’être banni pour spam.
Pour échapper aux restrictions, vous allez devoir passer à la caisse. En effet, BreachForums propose des abonnements payants aux utilisateurs qui souhaitent télécharger davantage de contenus.
Par ailleurs, le forum dispose d’un indice de réputation. En fonction du nombre de publications, et de la qualité de vos contributions, votre réputation augmentera. Ce sont les autres utilisateurs qui déterminent la réputation des autres, sur chacun de leurs posts. Celui-ci aide à trier les membres crédibles, auquel on peut faire confiance, des utilisateurs moins actifs, dont les assertions doivent être mises en doute.
BreachForums, un maillon clé du cybercrime
En l’espace d’un peu plus de deux ans, BreachForums est devenu un élément incontournable de l’économie criminelle et de la revente de données personnelles. Selon le FBI, « BreachForums a comblé le fossé entre les pirates informatiques qui colportaient des données volées et les acheteurs désireux de les exploiter ».
C’est notamment sur BreachForums que les données de 19 millions d’abonnés Free, les informations de plus de trois millions de clients SFR, les dossiers médicaux de 750 000 Français, les données de l’agrégateur DemandScience, de Nokia, de l’Assurance retraite, de France Travail ou des victimes du Hack de SnowFlake, ont été partagées.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.