Le retour de flamme n’aura jamais été aussi ironique. BreachForums, cette plateforme où s’échangent depuis 2022 les données volées et les accès illégaux aux systèmes d’entreprises, vient de subir sa propre compromission. Les informations de près de 324 000 utilisateurs circulent désormais librement en ligne, révélant au passage l’identité de ceux qui pensaient opérer dans l’anonymat le plus total.
Une négligence technique aux conséquences lourdes
La faille remonte à août 2025, quand les administrateurs ont fermé temporairement le site par crainte d’une intrusion. L’administrateur actuel, connu sous le pseudo N/A, a admis l’incident tout en tentant d’en minimiser la portée. Pendant la restauration du forum après la fermeture du domaine .hn, la table des utilisateurs et la clé PGP ont été stockées dans un répertoire non sécurisé.
L’archive divulguée contient des noms d’utilisateurs, adresses e-mail et mots de passe chiffrés avec l’algorithme Argon2. Plus problématique encore : 70 296 enregistrements incluent des adresses IP publiques exploitables, contrairement à la majorité qui renvoie vers une simple adresse locale (127.0.0.9).
ShinyHunters nie toute implication
Les données ont été publiées sur un site portant le nom du groupe ShinyHunters, accompagnées d’un manifeste signé par un certain James. Le groupe d’extorsion français, responsable de multiples attaques contre des entreprises comme Salesforce, Google ou la CAF, a pourtant démenti toute connexion avec cette publication.
L’analyse des données révèle des profils variés
Resecurity a passé au crible la base de données compromise. Les adresses IP montrent une activité concentrée aux États-Unis et dans certaines parties d’Europe, mais aussi au Moyen-Orient et en Afrique du Nord.
Gmail, l’outil préféré des hackers
Paradoxalement, Gmail apparaît comme le service de messagerie le plus populaire parmi les inscrits du forum. Une découverte surprenante qui démontre que nombreux sont ceux qui n’ont pas pris la peine de masquer leurs traces avec des adresses jetables ou anonymes.
La clé PGP compromise fragilise toute communication
Au-delà de la base utilisateurs, la fuite inclut la clé privée PGP employée par les administrateurs pour authentifier leurs messages officiels. Le mot de passe de cette clé a également été divulgué, ce qui permet à n’importe qui de signer des communications comme si elles provenaient réellement de l’équipe dirigeante. Cette compromission totale mine la crédibilité de toutes les futures annonces du forum.
Des cybercriminels désormais identifiables
Resecurity estime que cette exposition aura des répercussions directes sur les acteurs malveillants concernés. Parmi les données figurent des informations sur de véritables cybercriminels actifs, notamment des hackers associés à des groupes comme GnosticPlayers. Les 70 000 adresses IP publiques pourraient servir aux forces de l’ordre pour remonter jusqu’à certains individus.
L’enthousiasme doit toutefois être tempéré. En effet, l’intégrité des données reste questionnée puisqu’elles proviennent d’un autre groupe cybercriminel. Ces fuites pourraient aussi servir à propager de la désinformation plutôt qu’à identifier réellement les responsables.
Lire plus d’articles sur DigiTechnologie :
– Retours sur les cyberattaques de 2025, cliquez-ici
– Les deepfakes de Grok interrogent les autorités, cliquez-ici
– Nmap, l’outil indispensable pour scanner un réseau, cliquez-ici