Un pirate diffuse une base de 523 GB d’identifiants volés. Cette annonce soulève encore le voile sur une industrie cybercriminale désormais massive, normalisée et invisiblement rentable.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
La revente de 523,7 GB de données issues d’un stealer illustre l’ampleur et la banalisation du marché noir des identifiants numériques. Derrière cette annonce froide, on découvre une infrastructure clandestine bien rodée : des malwares voleurs de données disséminés à grande échelle, des bases de données structurées et commercialisées, et des pirates qui s’enrichissent en exploitant ces flux d’informations. Les nouvelles révélations de Zataz confirment cette dynamique, avec des centaines de millions de logs détectés chaque semaine.
Le jeu trouble des stealer logs : une annonce comme point de départ
Sur un forum fréquenté par la cybercriminalité organisée, une annonce simple, presque banale : « Sell 523.7 GB URL:LOG:PASS ». À elle seule, elle promet plus de 6,5 milliards de lignes d’identifiants. Le pirate explique avoir envoyé un logiciel infecté à un interlocuteur naïf, récupérant ainsi un lien contenant l’archive complète. Aucun tarif fixé, l’offre est ouverte. L’essentiel est ailleurs : la logique industrielle derrière ce type de contenu.
Cette annonce ne relève ni de l’exception ni de l’anecdote. Elle reflète une dynamique banalisée. Zataz vous avez récemment révélé que certains groupes pirates diffusent plusieurs centaines de milliers de combinaisons identifiants-mots de passe par jour, d’abord dans des espaces fermés, puis en clair. Dans un seul lot analysé, plus de 258 millions de logs ont été recensés sur une semaine. Au total, cela représentait les traces de plus de 250 000 machines compromises, pour plus de 20 millions de mots de passe uniques.
Ces chiffres donnent une idée de la masse d’informations en circulation. Les pirates ne ciblent plus des profils : ils moissonnent à l’échelle industrielle, laissant ensuite aux acheteurs le soin d’exploiter, trier, trafiquer.
Un marché souterrain en plein essor
Les stealer logs sont des fichiers bruts issus de malwares appelés infostealers. Une fois exécutés sur une machine, ils aspirent tout ce qu’ils peuvent : identifiants, cookies, historiques, fichiers, captures d’écran, voire accès à des portefeuilles numériques. Ces données sont exfiltrées puis regroupées par botnets ou stealer-as-a-service.
Les pirates, ensuite, les conditionnent. Chaque lot peut représenter une mine d’or : accès à des comptes bancaires, services cloud, messageries d’entreprise, outils de gestion, back-offices d’e-commerce, réseaux sociaux professionnels… Le traitement est automatisé. Certains acteurs revendent les logs en ligne à l’unité, selon le pays ou le service ciblé. D’autres vendent des bases en vrac à des prix dégressifs, par abonnement ou accès VIP.
Un cas emblématique rapporté par Zataz : un pirate surnommé « Dealer de soupe » a vendu plus de 12 millions de logs, ciblant notamment l’administration fiscale, Instagram ou encore des interfaces médicales. Le revenu estimé ? Environ 500 000 dollars (environ 460 000 euros). Ce chiffre illustre la rentabilité de cette économie parallèle, alimentée par des utilisateurs trop confiants et des systèmes insuffisamment segmentés.
Zataz note également que certaines annonces affichent des volumes surréalistes, 16, voire 50 milliards de données, souvent gonflés par des doublons ou des fuites anciennes recyclées. Comme ce fût le cas de la soit disant bases de données d’utilisateurs PayPal. L’objectif est clair : impressionner, attirer l’acheteur, puis capitaliser sur des bases peu ou pas exploitées.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
Un levier stratégique pour les cyberattaques ciblées
Les logs issus de stealers ne sont pas uniquement utilisés pour le vol de comptes. Ils sont devenus un outil stratégique pour les attaquants, un maillon clé dans la chaîne d’intrusion.
Un cookie de session volé permet, par exemple, de contourner l’authentification multi-facteurs. Un identifiant administrateur donne un accès direct à un serveur, un back-office ou une interface SaaS. Les logs dévoilent aussi les habitudes numériques : sites fréquentés, heures de connexion, plugins installés. Ces informations permettent de construire des attaques ciblées, précises, difficiles à détecter comme j’ai pu vous le montrer avec la manipulation des publicités Google en jouant avec les informations de consommation des internautes.
Dans le monde du renseignement offensif, ces données ont une autre valeur. Elles permettent de dresser des cartographies détaillées des réseaux, de comprendre les flux, d’identifier les vulnérabilités. Pour une entité malveillante, avoir accès à des millions de logs, c’est disposer d’une cartographie vivante de l’infrastructure numérique mondiale.
Les rançongiciels s’en nourrissent. De nombreux groupes cybercriminels achètent ces données pour identifier des cibles exploitables : PME mal protégées, accès VPN exposés, services d’authentification peu surveillés. L’accès initial est ainsi externalisé : l’exécution du ransomware n’intervient qu’en dernier recours.
Se défendre face à l’invisible
Lutter contre les stealer logs, c’est lutter contre l’infection en amont… mais aussi contre l’exploitation en aval. Les entreprises doivent comprendre que la compromission ne se limite pas à l’instant de l’attaque : les données volées vivent, circulent, se vendent, se recroisent. D’où l’importance d’une veille.
Un mot de passe volé, s’il n’est pas réinitialisé, devient une bombe à retardement. Un cookie actif non révoqué ouvre une session sans alerter personne. Et l’utilisation d’un terminal personnel contaminé peut exposer l’ensemble du système d’information professionnel et personnelle du propriétaire de la machine, mais aussi de toutes les personnes passant par le clavier de cette derniére.
La première défense est comportementale : hygiène numérique, mises à jour, suppression des usages mixtes (personnel/professionnel), surveillance active des comportements anormaux. La deuxième est technique : détection comportementale, segmentation réseau, vérification renforcée des accès. Enfin, la troisième est informationnelle : surveiller les forums, suivre les fuites, anticiper les usages de données volées. Ce type de veille proactive devient un réflexe vital, non seulement pour réagir, mais pour prévenir.
L’annonce d’un pirate proposant 523,7 GB de données n’est pas un cas isolé. Elle s’inscrit dans une logique systémique, où l’identifiant devient une monnaie, la donnée un actif, et la compromission un business. L’analyse de terrain de Zataz, les chiffres hallucinants des logs en circulation, et les stratégies de monétisation observées confirment une chose : nous vivons dans une ère où chaque geste numérique peut être intercepté, revendu, recyclé.
Alors que les utilisateurs, les entreprises et les États cherchent encore à poser des barrières efficaces, une question essentielle se pose : comment bâtir une cybersécurité durable dans un monde où l’économie souterraine des identifiants n’a jamais été aussi florissante ni aussi bien structurée ?
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
