BreachForums : renaissance d’un forum criminel en ligne fermé par le FBI

Seulement deux semaines après sa saisie et son démantèlement orchestrés par une opération conjointe des forces de l’ordre, BreachForums, un marché noir notoire sur Internet, a fait son retour sur le web et le darkweb.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

ZATAZ vous expliquait, le 15 mai 2024, l’actions des autorités américaines pour mettre fin aux activités de l’espace criminel, BreachForums, menant à l’arrestation présumée de son fondateur, connu sous le pseudonyme de Baphomet. Peu de temps après cette fermeture, deux nouveaux forums concurrents émergèrent, lancés par des figures mystérieuses, dont un Russe. Ces développements vous ont été présentés sur Twitch, où ZATAZ a montré la disparition de l’annonce de saisie du FBI, rapidement remplacée par des communications de ShinyHunters, un autre administrateur de BreachForums. Dans une manœuvre audacieuse, BreachForum a été relancé sous une nouvelle URL, confirmant que ShinyHunters détenait des copies complètes des données du site original, y compris les comptes utilisateurs. Ce nouvel avatar, nommé Violation Forums, s’annonçait déjà comme un relais pour des activités similaires. Seulement, Violation Forums va disparaitre trés vite, pour laisser la place à … BreachForums.

Le FBI perd le contrôle ?

Le FBI a tenté de contrôler les nouveaux domaines liés à BreachForums en pointant leurs DNS vers les serveurs de l’agence. Cependant, malgré les arrestations présumées, dont celles de Baphomet et ShinyHunters, BreachForums est revenu aussi rapidement qu’il avait disparu ! A noter que ShinyHunters semble toujours actif. Il explique d’ailleurs comment il a pu récupérer les domaines. Selon ShinyHunters, qui nomme les entreprises et les agents du FBI impliqués dans l’opération judiciaire, l’agence fédérale et l’ICANN auraient contraint le fournisseur de noms de domaine de BreachForum à transmettre les domaines BreachForums aux autorités. « Pour être transparents avec tout le monde, nous tenons à confirmer qu’ils ont effectivement obtenu la base de données par l’intermédiaire de Baphomet. » souligne le pirate. « Rassurez-vous, nous avons les choses sous contrôle. » Le – nous – tendrait à dire que ShinyHunters ne serait pas qu’une unique personne, mais plusieurs malveillants signant sous le même pseudonyme ? Etonnant pour une population trés égocentrique !

Incertitudes et suspicions

Des doutes subsistent quant à la véritable identité de ShiningHunters et à la manière dont ils ont pu récupérer l’un des sites Clearnet saisis par le FBI. Il y a également des soupçons que le site relancé puisse être utilisé comme un « piège à miel« , un honey pot, destiné à attraper d’autres cybercriminels.

De son côté, ShinyHunters explique comment il a pu récupérer BreachForums. Le FBI et l’ICANN auraient contraint le fournisseur de domaines de BreachForum à transférer les noms de domaine aux autorités, une manœuvre que ShinyHunters aurait contrée en transférant préventivement les domaines à un autre registraire.

« Le FBI n’a pas encore divulgué de détails sur l’arrestation de notre précédent administrateur Baphomet, donc à ce sujet, tout ce que nous pouvons faire est de spéculer. » affiche ShinyHunters. Toujours selon le pirate, pour l’opération, Le FBI aurait fait fermer, complètement, le centre de données de la société NiceVPS « juste pour obtenir des données utilisateurs […] nous tenons à nous excuser auprès de NiceVPS pour avoir causé la fermeture de votre entreprise par le FBI« .

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

A noter que NiceVPS n’a pas communiqué sur ce fait. Un seul petit détail apparait, cependant. Avant le 15 mai, pas de message visible sur NiceVPS concernant les activités illicites. Aprés l’opération du FBI, comme le montre la capture écran de ZATAZ, un message en rouge, en première page : BEWARE: We do NOT allow any kind of illegal activity.

Bref, ShinyHunters aurait récupéré le nom de domaine aussi simplement qu’un courriel « nous avons décidé que la meilleure chose à faire serait de demander à NiceNIC de nous rendre les domaines, et contre toute attente, ils ont accepté. Nous avons ensuite remplacé leur bannière de saisie par notre nouveau groupe Telegram et la chanson ‘Fuck Tha Police’ de N.W.A.« 

Pourquoi le FBI n’a pas pu refaire la même procédure ? « À leur insu, nous avions transféré les domaines à un autre registrar en utilisant le code EPP (enregistré avant la saisie).« 

Pour parfaire leur égocentricité, ShinyHunters en a profité pour annoncer détenir la base de données de TicketMaster, évaluée à 500 000 dollars, contenant des informations sur 560 millions de clients. Les données exposées incluraient les noms complets, les adresses physiques et électroniques, les numéros de téléphone, des détails de transactions, les informations d’événements, ainsi que les quatre derniers chiffres des cartes de crédit avec leurs dates d’expiration.

Ce n’est pas la première fois que la justice US perd un nom de domaine aprés une saisie. En janvier 2020, le FBI saisi le site We Leak Info, une plateforme exposant des millions d’identifiants de connexion piratés. Le FBI y place sa page d’information judiciaire. Un an plus tard, un pirate a pris possession d’un des domaines pour extraire les données des utilisateurs. Et devinez qui était ce pirate …

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.