Depuis plusieurs jours, pirates et amateurs de fuites de données sont en deuil : BreachForums ne répond plus. Un long message attribué à l’écosystème ShinyHunters a été repéré par ZATAZ dans le darkweb. Derrière les annonces techniques et des menaces apparaît une stratégie de communication destinée à restaurer la crédibilité, intimider des victimes et influencer les internautes. La fin de Breach Forums ?
Un message publié dans le darkweb par un acteur se présentant comme lié à ShinyHunters et à BreachForums illustre la dimension psychologique de la cybercriminalité contemporaine. Derrière les annonces d’infrastructure, la promotion d’un forum clandestin et la vente d’une base de données se cache une opération de communication structurée. L’analyse linguistique que va vous proposer zataz montre un style mêlant argot internet, provocations et références faussement américaines, indice d’un auteur jeune et fortement immergé dans les communautés en ligne.
Plusieurs incohérences techniques apparaissent également, notamment sur le prix d’une base de données ou la gestion des domaines du forum. L’ensemble suggère moins un communiqué technique qu’une manœuvre de propagande visant à préserver réputation et influence dans l’écosystème cybercriminel. Un message qui sort au moment ou le forum préféré des pirates de rue ou des pseudos spécialistes du sujet est en rade depuis 72 heures.
Un discours calibré pour intimider et asseoir une réputation
Le message commence par une série d’annonces techniques concernant l’écosystème BreachForums. L’auteur évoque le blocage de canaux sur les réseaux sociaux, de plusieurs noms de domaine (nous en avon parlé et montré les élèments dans la cyber émission de zataz sur Twitch), la migration vers plusieurs nouveaux domaines et la remise en service de différentes fonctions du forum. Parmi elles figurent notamment un système d’escrow, l’ajout de clés PGP dans les profils ou encore des mécanismes de jeu permettant d’utiliser des crédits internes (Un casino de crédits). Enfin, ça c’est quand Breach Forums n’avait pas disparu de la toile, il y a quelques jours.
Ces éléments donnent l’apparence d’un communiqué opérationnel destiné à informer la communauté. Pourtant, la majeure partie du texte repose sur une rhétorique de domination psychologique. Plusieurs passages insistent sur l’invincibilité supposée du groupe et sur l’incapacité des autorités ou des chercheurs à l’identifier.
L’auteur affirme notamment que l’organisation serait « unstoppable » et qu’elle ne serait jamais arrêtée. Ce type de formulation appartient à un registre fréquent dans la communication cybercriminelle. L’objectif consiste à construire une réputation d’invulnérabilité destinée à décourager les victimes et à rassurer les partenaires criminels.
La logique dépasse largement la simple intimidation. Dans les économies clandestines liées aux données volées, la crédibilité agit comme une véritable monnaie. Un groupe perçu comme puissant attire davantage d’acheteurs, d’affiliés ou de complices techniques.
Le message inclut également des menaces explicites envers les victimes refusant de payer les ransomwares qui semblent avoir été lancée par l’auteur et « son groupe ». L’auteur affirme que l’organisation ne se limiterait pas à une simple fuite de données. Il promet un harcèlement prolongé, des attaques répétées et une pression médiatique destinée à provoquer des conséquences réglementaires.
Ce type de stratégie correspond à ce que les analystes de renseignement appellent une extorsion multi-vecteurs, où la pression technique s’accompagne d’une pression réputationnelle et psychologique.
Un style linguistique révélateur d’un profil jeune et très connecté
L’analyse linguistique du message met en évidence un mélange particulier de registres. Certains passages adoptent un ton quasi administratif, décrivant des fonctionnalités techniques du forum ou les modalités d’accès aux services.
D’autres phrases basculent soudain vers un langage agressif ou provocateur. L’auteur emploie de l’argot internet, des emojis ironiques et plusieurs expressions issues de la culture des communautés en ligne. On retrouve par exemple des formules telles que « Stay mad », « Know your place » ou encore des signatures ironiques comme « xoxo ».
Ces ruptures stylistiques indiquent une écriture impulsive et peu éditorialisée. Les communications des groupes ransomware très structurés sont généralement plus homogènes et plus courtes. Ici, la longueur et la tonalité suggèrent plutôt l’intervention directe d’un individu jouant un rôle de porte-parole informel.
Paradoxalement, malgré de nombreuses références culturelles américaines, plusieurs erreurs grammaticales apparaissent. Des expressions telles que « purchease data » ou « you say you no pay us » suggèrent que l’anglais n’est probablement pas la langue maternelle de l’auteur. Est-il français, voir francophone ? Dans l’un de ses messages il cite la DGSI, la Direction Générale de la Sécurité Intérieure. Autant dire que des pirates Chinois, Américains ou Malaisiens sont à mille lieux de citer cette entité étatique française.
Ce mélange d’anglais approximatif et de références culturelles anglo-saxonnes apparaît fréquemment chez des acteurs très actifs dans les communautés Discord, Telegram ou gaming. Les analyses judiciaires liées à plusieurs groupes cybercriminels récents ont d’ailleurs révélé des profils relativement jeunes, souvent très immergés dans ces environnements numériques.
Incohérences techniques et signaux d’une opération de communication
Au-delà de la rhétorique, certains éléments techniques du message soulèvent des questions. L’auteur annonce notamment la vente d’une sauvegarde complète de la base BreachForums datée du 10 mars 2026, incluant la base de données, le code source et l’infrastructure technique. (Le site est H.S. depuis le 14 mars).
Le prix annoncé est de 5000 $ (4600 euros environ). Dans l’économie clandestine des données volées, ce montant paraît étonnamment bas pour un forum revendiquant plus de 346014 membres. Une base contenant des historiques de transactions, des identités d’utilisateurs et des discussions privées pourrait atteindre des valeurs bien supérieures.
Cette annonce ressemble davantage à une opération promotionnelle ou à un produit partiel qu’à une fuite complète de l’infrastructure. Aucune preuve, aucun exemple (sample), Etc. Un propriétaire de forum qui se propose de dégoupiller la grenade qui va lui couper la main ? Étonnant ! D’autant plus que ce 16 mars, le propriétaire du Breach Forums annonce la fermeture du forum. Il veut passer la main pour des raisons personnelles.
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Autre élément notable, la succession rapide de domaines présentés comme officiels. Le message mentionne tour à tour plusieurs adresses différentes, certaines décrites comme principales, d’autres comme miroirs. Cette instabilité contraste avec l’affirmation selon laquelle les serveurs n’auraient jamais été saisis. Comme expliqué, 3 domaines en quelques heures. BreachForums est-il en train de vivre son « Leakbase action » ?
Dans l’histoire récente de BreachForums, les changements rapides de domaine ont souvent suivi des perturbations techniques, des suspensions d’hébergement ou des opérations judiciaires. La multiplication de ces adresses peut donc signaler une tentative de stabilisation après une perte d’infrastructure.
Enfin, le texte affirme l’existence d’une coalition appelée « Scattered LAPSUS$ Hunters », censée réunir plusieurs groupes connus. Les analyses de renseignement cyber montrent que certains membres peuvent circuler entre ces communautés, mais aucune alliance structurée permanente n’a été confirmée. Et ce n’est surtout pas la premiére fois que des internautes s’accaparé des pseudonymes de pirates passés.
Cette déclaration s’inscrit davantage dans une stratégie de construction d’image destinée à amplifier la perception de puissance.
Dans l’écosystème du cybercrime, la bataille ne se limite plus aux réseaux compromis. Elle se joue aussi dans la guerre narrative où réputation, intimidation et communication publique deviennent des armes à part entière de l’influence criminelle.
