Après deux ans d’arrestations et de démantèlements, est-ce la fin du forum de hacking ?
BreachForums, un forum criminel de premier plan, a subi un nouveau coup, peut-être fatal, à sa réputation après la révélation du vol d’une base de données de milliers de criminels qui l’utilisaient il y a quelques mois.
La nouvelle de la violation a été rendue publique le 9 janvier lorsqu’une archive zip contenant une base de données MySQL de 323 986 utilisateurs de BreachForums est apparue sur Shinyhunte(.)rs, un domaine qui n’aurait apparemment aucun lien avec le tristement célèbre groupe d’extorsion du même nom.
Selon , la violation de données s’est produite en août dernier, deux mois avant le retrait par la police du site d’extorsion de données BreachForums après les menaces de Scattered Lapsus$ Hunters de l’utiliser pour divulguer un milliard d’enregistrements volés aux clients de Salesforce.
Cela correspond à la date du 11 août figurant dans la base de données divulguée la semaine dernière ; c’était le jour où ses administrateurs auraient annoncé la fermeture du site de peur qu’il n’ait été compromis par les forces de l’ordre.
a déclaré que les données volées comprenaient également des mots de passe hachés, des messages privés et des messages sur le forum.
Cependant, selon la société de renseignement de sécurité Resecurity, la fuite de janvier contient deux nouveaux éléments : un fichier de clé privée PGP protégé par mot de passe et un manifeste grandiloquent et bizarre de 4 400 mots intitulé « Doomsday » par un auteur utilisant le nom de « James », qui prétend être à l’origine de la fuite.
La clé PGP, divulguée un jour plus tard, le 10 janvier, a très probablement été utilisée pour signer des messages des administrateurs de BreachForums, a indiqué Resecurity.
Un retrait après l’autre
Cette fuite n’est que le dernier d’une série de problèmes, d’arrestations et de démantèlements qui affectent ce qui était autrefois l’un des plus grands forums criminels anglophones.
Successeur du site RaidForums saisi par les autorités américaines en 2022, BreachForums se présente comme un site de discussion sur des sujets tels que les violations de données, les contenus sexuels illégaux, les ransomwares et les outils de piratage.
En 2023, le fondateur et administrateur présumé du site, Conor Brian Fitzpatrick, a été arrêté et ses domaines Clearnet ont été saisis trois mois plus tard. Fitzpatrick a ensuite été condamné à trois ans de prison par un tribunal américain.
En 2024, un administrateur remplaçant, Baphomet, aurait également été arrêté, et en 2025, cinq autres personnes accusées d’être liées au site ont été placées en détention. Enfin, en octobre dernier, le site d’extorsion sur le dark web BreachForums a été supprimé.
La question immédiate est de savoir si la base de données divulguée sera utile à la police, en supposant qu’elle n’y ait pas déjà accès. Il contient des adresses e-mail et des données IP qui pointeront très probablement vers des proxys ou des services d’anonymisation. Une analyse a révélé que de nombreuses adresses IP sont simplement des bouclages. Cependant, le service de messagerie le plus populaire utilisé pour s’inscrire sur BreachForums est Gmail, qui peut fournir un lien médico-légal à toute personne ayant fait preuve de négligence et n’ayant pas couvert ses traces.
Une question d’intégrité des données
Les experts ont eu des réponses mitigées à la nouvelle de la fuite de la base de données. « La violation sape considérablement la confiance dans la plateforme elle-même, ce qui est essentiel pour tout forum sur la cybercriminalité », a déclaré Michael Jepson, responsable des tests d’intrusion chez le cabinet de conseil CybaVerse.
« Cette exposition porte atteinte à la confiance dans BreachForums en tant qu’environnement sécurisé. En conséquence, les cybercriminels les plus sophistiqués sont susceptibles de migrer des grands forums bien connus vers des communautés plus petites, sur invitation uniquement », a-t-il ajouté.
Cependant, Michael Tigges, analyste principal des opérations de sécurité chez la société de sécurité Huntress, s’est montré moins optimiste. « Bien que potentiellement utile aux autorités et aux professionnels de la sécurité qui étudient les activités contradictoires, la base de données est en fin de compte d’une utilisation médico-légale limitée. Bien que la fuite puisse être légitime, son intégrité est remise en question si elle provient d’un autre groupe de cybercriminalité », a-t-il souligné.
Le plus grand risque était que les fuites de données puissent servir de couverture à la diffusion de désinformations. « Des fuites de données comme celles-ci peuvent être utilisées pour tracer des lignes entre des noyaux d’activité, mais la fiabilité des informations doit être minutieusement examinée », a déclaré Tigges.
