Derrière la plupart des grandes fuites françaises récentes, on retrouve moins des « attaques isolées » que la montée silencieuse d’un marché : les look up pirates centrés sur les données françaises.
Les fuites de données françaises ne naissent plus seulement d’attaques opportunistes, mais d’une économie structurée autour de moteurs de recherche criminels, les look up. En recoupant la veille menée par ZATAZ sur le dark web et les canaux chiffrés, un nom revient systématiquement, une vitrine de ce qui semble être un même acteur caché derrière un label diffusé massivement depuis quelques jours. Fédérations sportives, e-commerçants, services publics, télécoms, plateformes communautaires, tout alimente un gigantesque index de centaines de millions de lignes. Les « leaks » deviennent un outil marketing destiné à attirer vers des bots Telegram et Discord capables de retrouver un citoyen français par nom, email, téléphone, voire plaque d’immatriculation.
Des fuites mises en scène pour les look up
L’imagerie publique des fuites françaises laisse croire à une succession de piratages spectaculaires, chacun attribué à un groupe différent, parfois éphémère. La cartographie dressée par le service de veille ZATAZ montre une mécanique plus systématique : des fuites mises en scène pour alimenter et promouvoir des outils de lookup, ces moteurs de recherche dans des bases de données compromises.
Dans ce modèle, la fuite n’est plus la fin, mais le début du cycle. Un dump présenté comme inédit circule sur des forums ou via un influenceur, souvent avec un storytelling anxiogène. Puis, très vite, les mêmes données apparaissent intégrées à un moteur de recherche payant, accessible via bot. L’utilisateur malveillant n’achète pas un fichier brut, il paie pour vérifier un numéro, un nom, une adresse précise, sans effort technique ni stockage local.
Les fuites liées à Leroy Merlin, à des fédérations sportives comme la Fédération Française de Tir, ou encore à des opérateurs logistiques tels que Colis Privé, s’inscrivent dans ce schéma. Idem pour la série Free, Boulanger, LDLC et d’autres enseignes tricolores : les mêmes noms défilent dans les dumps, puis réapparaissent dans des look up français dédiés. L’objectif n’est pas seulement de monétiser une intrusion, mais de capitaliser durablement sur les données ainsi collectées.
L’un des Look UP detécté, je le baptiserai DSFR, pousse cette logique à l’extrême en présentant son infrastructure comme un index français massif. Les messages repérés mentionnent des commandes très simples, du type « /nom » suivi du patronyme, avec des évolutions annoncées permettant de combiner nom, prénom et date de naissance. L’ergonomie copie les usages légitimes, mais appliqués à un corpus essentiellement issu de compromissions, de scrapes massifs ou de réemplois de fuites anciennes.
Dans ce contexte, beaucoup de « fuites françaises » ne sont plus des événements isolés, mais des moments de visibilité d’une chaîne d’exploitation continue, où chaque nouvelle base sert à enrichir un look up ou à en faire la promotion. La fuite devient argument commercial, le fichier un produit d’appel pour un service de recherche plus rentable. Commercial, et politique. Au moins deux pirates signent sous des identités reprochant à la France ses différentes politiques étrangéres.
Façade éphémère pour un seul acteur ?
Le dernier cas qui touche la France semble être signé d’un groupe. Il illustre cependant parfaitement cette fabrication de marque autour d’un individu. Sur les forums pirates, les espaces du dark web et les réseaux sociaux criminels surveillés par ZATAZ, ce « groupe » est pratiquement absent en dehors des communications liées aux fuites françaises récentes. Rien qui ressemble à un collectif structuré : il apparaît comme une simple façade de communication, inventée pour donner du relief médiatique à des leaks soigneusement scénarisés.
Selon les recoupements, derrière cette identité se cacherait une seule personne changeant régulièrement de pseudonyme : Goku, leZ, Ocelle, Etc. puis d’autres identifiants, jusqu’à la signature récurrente de P57. Ces aliases se retrouvent au fil des mois sur les mêmes thématiques, avec le même ton, les mêmes obsessions et un rapport quasi obsessionnel à la scène française des leaks. Le style rappelle fortement un pirate plus ancien, au pseudonyme évoluant, encore : Z1***, Daj***, avec qui il partage vocabulaire, posture et méthodes.
P57 (ou quelque soit son pseudonyme du moment) joue un rôle central de courtier de données dans cet écosystème. Ses messages montrent une obsession pour la « qualité » des bases françaises : distinguer le vrai de la revente de leaks publics, dénoncer les fausses annonces, décrédibiliser les concurrents présentés comme de simples « skids » qui ne feraient que recycler des données anciennes. Il se met volontiers en scène comme celui qui vérifie, qui appelle des identités ou teste lui-même la cohérence d’une base, se posant en arbitre auto-proclamé du marché gris français.
Le langage est extrêmement agressif, truffé d’insultes et de références codées. Un exemple lié à Bouygues Telecom résume ce mélange d’argot, de contraction et de français-anglais : « j’ai la plus récente avec code puk etc et la data j’ai dmd a qlq lookup numéro fr etc r sort comme pars hasard et quand je regarde sur la mienne y’a ». On y retrouve l’idée centrale : la valeur d’une fuite n’existe pleinement qu’une fois intégrée dans un lookup permettant de « tester » un numéro ou une fiche client.
SaaS criminel centré sur la France
Au cœur de cette constellation, un autre espace, DSFR apparaît comme une colonne vertébrale technique et commerciale. Sous son nom (anonymisé dans cet article), l’acteur opère une boutique et une panoplie d’outils de lookup automatisés, avec des bots Telegram et Discord présentés comme « Free Lookup PrivateDB ». L’offre est claire : permettre à des utilisateurs peu équipés d’interroger des bases massives sans stocker eux-mêmes les données.
Le bot Telegram est décrit comme un « searcher » indexant plus de 500 millions de lignes à dominante francophone. Les recherches peuvent se faire par nom, prénom, email, téléphone, adresse IP, pseudonyme, identifiant Discord, UUID Minecraft, voire plaque d’immatriculation. Le modèle économique repose sur le principe « test gratuit, révélation payante » : une recherche partielle ou floutée pour prouver que la donnée existe, puis un paiement pour obtenir tous les champs disponibles.
Sur Discord, l’acteur explique avoir développé « un petit bot » pour chercher dans « pas mal de DB » destiné à ceux qui n’ont ni stockage, ni budget, ni optimisation suffisante. On est bien sur un SaaS criminel : infrastructure centralisée, interface conviviale, facturation segmentée, promesse d’externaliser la complexité technique. L’ensemble cible clairement les données personnelles françaises, comme le montrent les corpus mis en avant et les communautés fréquentées, proches de celles des ShinyHunters ou de canaux dédiés aux logs de stealer.
En parallèle, la boutique met en avant des listings comprenant préfectures, Pôle emploi, France Travail, Ameli, Bouygues Telecom, mais aussi des fuites liées à des enseignes comme Free, Boulanger ou LDLC. Il se présente ainsi comme le « dernier de la bande des fuites », celui qui agrège, trie, indexe et monétise ce qui circule déjà dans la scène, plutôt que comme le premier à compromettre les systèmes.
Les listes fournies par ce Look Up donnent une idée de l’ampleur. Au 4 décembre, l’acteur revendique 170 754 281 lignes contenant une date de naissance, 85 102 528 codes postaux, plus de 236 millions de prénoms, près de 238 millions de noms, environ 95 millions de numéros de téléphone, plus de 216 millions d’adresses IP et 852 040 905 mails. Si l’on additionne, par exemple, les 19,2 millions de lignes associées à Free, les 18,4 millions de LinkedIn et les 12,7 millions de l’ANTS, on dépasse déjà 50,3 millions d’entrées. Ces chiffres ne tiennent pas compte des doublons, mais illustrent la densité de l’index français visé.
Les secteurs couverts vont des fédérations sportives aux services publics en passant par le commerce en ligne. Côté sport, sont cités la Fédération Française de Basketball à 2,6 millions d’enregistrements, la Fédération Française de Handball à 2,7 millions, la Fédération Française de Natation à 2,8 millions, l’UNSS avec 7,7 millions de fiches d’élèves, mais aussi des fédérations de rugby, de badminton, de volley, de tir à l’arc, de sports mécaniques, ou encore d’aéromodélisme, des scouts, Etc. Chacune apporte noms, coordonnées et parfois détails sur la pratique sportive, autant d’attributs précieux pour profiler des individus.
Pour les entreprises et services, on retrouve Free à 19,2 millions de lignes, LinkedIn à 18,4 millions, une base ANTS à 12,7 millions, Autosur à 10,6 millions, Pôle emploi à 10 millions, Bouygues Telecom à 6 millions, mais aussi Ameli, France Travail, des enseignes comme Cultura, Les Slip Français, des sites de e-cigarette, des services de livraison, des enseignes de sport ou encore des plateformes de rencontres et de divertissement. Le mix est assumé : données issues de fuites récentes, bases privées françaises moins médiatisées, et grands leaks internationaux déjà connus comme Badoo, Deezer, Twitter, Facebook ou Romwe.
Ce super marché publie régulièrement de nouveaux ajouts, comme Intersport, Decathlon, des bases France Travail ou des forums spécialisés. Certains dumps sont offerts gratuitement, notamment la base Les Slip Français 2024 ou des données Lockbit, avec liens vers des hébergements de type GoFile ou torrents de « leaks » de masse. Cette générosité apparente sert un objectif simple : gagner en réputation dans la scène, attirer du trafic et convertir une partie de cette audience en clients des bots de lookup.
Au-delà des données structurées, l’acteur manipule des logs d’infostealers et des configurations d’outils comme OpenBullet. Il mentionne des collections de type « 200 gigs of logs » ou des archives mensuelles comptant plusieurs centaines de machines compromises. Les discussions autour de VirusTotal, du FUD et des backdoors dans des archives montrent une familiarité avec l’écosystème malware, mais sans trace de développement avancé publié. Tout indique un profil d’agrégateur averti, capable d’assembler, relier, enrichir et valoriser des sources multiples, plus qu’un auteur de malwares sophistiqués.
Tant que ces look up pirates resteront au centre de la monétisation des fuites, l’enjeu pour les défenseurs consistera autant à empêcher les compromissions qu’à comprendre, cartographier et perturber ces infrastructures discrètes qui transforment des bases volées en services criminels prêts à l’emploi.
