Un pirate informatique a décidé de vider son sac suite à l’affaire de la fuite de données de l’ANTS. Retour sur ce qui aurait pu paraître anodin.
Vendredi 19 décembre, un pirate informatique, aka AB, vide son sac sur un forum connu pour être un « stockage » de petites annonces de données copiées, piratées. AB n’est pas content, et il l’écrit avec ses propres mots. Il insulte (pour info, je ne les prends pas comme telles à mon encontre : c’est son moyen de communiquer son mécontentement). Il tape donc sur trois personnes : moi, un collègue journaliste et un troisième individu.
Pour le journaliste, on peut penser qu’il n’a pas aimé un article : c’est un grand classique. Dans mon cas, il n’a pas aimé l’article « La mascarade des ventes de données prétendument issues de l’ANTS ». Dans son message à mon encontre, il indique : « Aussi pour le gros porc Damien BANCAL, j’ai été le premier à l’avoir mis en vente publiquement pas Lapsus sale gros tas de merde, putain de sac à graisse immonde incapable de faire une recherche simple. » Bref, selon ses propos, la phrase : « Le scénario débute en mars 2025. Un individu se présentant sous les alias « Scattered » ou « Lapsus$ » revendique l’accès à COMEDEC, aujourd’hui France Titres, via le sous-domaine « Mairie » de l’ANTS. » ne serait pas bonne. Il aurait donc fallu le citer.
Sauf que je ne passe pas ma vie sur des forums comme BreachForums, Darkforum, TagadaForums, TsoinTsoinForums, etc. Je dirais même que cela doit représenter 1 % du temps de ZATAZ. Comme souvent écrit, ces espaces sont le sommet d’un iceberg dont on ne connaît ni la profondeur ni l’épaisseur. Un exemple concret de ces derniéres heures. La fuite concernant la CAF. Le pirate BDLf [je vous en parle plus bas] diffusera cette derniére le 18 décembre 2025, avant de la retirer pour la rediffuser quelques heures plus tard. BDLf date cette fuite ainsi « Leak : 2023« . Sauf que certains ont repris l’information diffusée sur un forum pirate fin décembre 2025. Bilan, ils ont annoncé un piratage en 2025 !
Et vous allez voir que le pirate Lapsus/Scattered/Shiny Hunters n’est pas bien loin dans l’ensemble de ces histoires.
Un espace Lapsus est apparu mi-décembre, puis a été effacé !
Concernant le second journaliste, par respect pour sa vie privée et son professionnalisme, irréprochable, je ne le citerai pas ici. Certains « influenceurs » du web s’en sont chargés en affichant nos noms et nos photos, pensant que cela n’aurait aucune conséquence pour eux. J’y reviendrai le temps voulu, une fois que la justice sera passée par là.
Concernant la troisième personne mise au pilori par le pirate, le contenu est assez inquiétant : « Je te donne cette DB [il parle de ce qui semble être la BDD de l’ANTS], et tu me ghost pour un moimoi ? […] Tu t’es fait ton beurre sur la DB ANTS que JE t’ai donnée et que tu as bouclé dessus des jours durant, tout ça pour baisser la queue lorsque l’ANTS a dit que ça venait pas d’eux (ce qui est “vrai”, étant donné que c’est d’un prestataire de l’ANTS). » (sic!)
Comme je l’ai écrit publiquement sur LinkedIn : faire du business avec des pirates est une TRÈS, TRÈS mauvaise idée. D’autant que j’avais alerté cet internaute, lors du Forum international de la cybersécurité (FIC 2024), devant témoins, au sujet de courriels que j’avais reçu. L’émetteur des lettres pensant peut-être que j’allais le diffuser publiquement à l’époque. Dans les courriels, des propos racistes et menaçant. J’avais été le réceptacle de petits mots doux ressemblant comme deux gouttes d’eau à ceux publiés sur le forum pirate par AB.
Ce qui est encore plus étonnant : les informations fournies dans la colère de ce pirate. On y apprend aussi : « la fuite de 100 GB de données sur les centrales EDF (cf. la cyberattaque contre axyon.eu que J’AI faite) […] Pour d’autres BDD d’état civil, aller voir ma vente de aude.fr ». Bref : « cette BDD est 100 % authentique et pas une « mascarade ». »
La mascarade n’était pas dans la question de cette fuite malveillante, mais dans le business qui en découle. Et les réponses du pirate en sont une seconde preuve, étonnante et flagrante.
Pour finir sur cette première partie (et oui, il y a une suite) : si ce pirate souhaite me contacter, il existe des tonnes de méthodes autres que : piratage de blog pour me mettre un zizi sur le front ; appel téléphonique avec menace de « faire sauter ta maison » (avril 2025) ; affichage dans des logs de site web « piratage par ZATAZ » ; création de faux comptes X ou Telegram, insultes dans un forum, etc. Bien entendu, je ne dis pas que AB est l’auteur de l’ensemble des faits énoncés ici. Mais le vocabulaire est tellement… ressemblant. Surtout au sujet de mon petit bidon (mon ventre) 😀
À noter que, comme le dit mon – sang – Obélix : « Je ne suis pas gros, je suis juste enrobé » !
Pression sur un ancien « partenaire »
Cette histoire aurait pu être un détail. Des insultes, des menaces : elles sont très, très rares depuis les 30 ans de vie de ZATAZ. Celle-ci a, comme vous l’avez lu plus haut, un parfum différent.
D’abord parce qu’elle a été diffusée sur un forum qui, normalement, avait totalement disparu. Et il est revenu avec TOUTES les archives d’avant l’action des autorités. Ensuite, par les informations diffusées par le pirate : ANTS, EDF, Aude, business/comm’ avec un internaute lambda, etc. Mais aussi — et surtout — par ce qui va suivre.
Le pirate AB était très mécontent que le groupe Lapsus soit cité dans l’article. Vous allez comprendre pourquoi, car il ne semble pas être le seul [ou alors AB et le second pirate qui va suivre, BLDf].
Il semble que Lapsus, mais aussi Scattered, mais aussi Shiny Hunters, ait été remonté de toute pièce par le cinquième homme que les autorités ont arrêté, quelques heures après l’affaire des quatre pirates français auteurs/gestionnaires/banquiers de BreachForums. Un cinquiéme homme revenant du Maroc.
Un pirate informatique que je vais donc nommé BLDf, très proche du forum cité plus haut [un adminsitrateur/modérateur ?], a diffusé il y a quelques heures des documents et des faits qui donnent un éclairage encore plus fort sur la « mascarade » autour des bases de données volées, de ce cinquiéme homme et des derniéres affaires autour de Lapsus/Scattered/Shiny Hunters. « LA VÉRITÉ SUR les chasseurs “Scattered LAPSUS$” éparpillés », indique BLDf. « Ces trois derniers jours, nous avons parlé et mis la pression sur notre ancien partenaire, explique-t-il. Il a notre argent et a choisi de ne pas le rendre. Maintenant, il est temps de payer : avec l’argent, ou sans.»
Oullà. Argent, fuite de données, baston 2.0 (mais pas que), vengeance entre anciens partenaires. Les derniers piratages commencent à prendre une tournure… nouvelle.
« Depuis les arrestations de [identité retirée] Trihash/Hollow et [identité retirée] YuroSH, plus personne ne comprend vraiment ce qui se passe. » écrit BLDf. À noter que j’ai retiré les vraies identités diffusées par BLDf.
« Juste avant l’arrestation de Trihash/Hollow, un accord a été passé avec [je vais l’appeler le 5ème homme], en lui donnant la clé PGP de SH [aka Shiny Hunters]. (…) Pourquoi ? Pour créer un faux groupe Telegram, continuer à parler publiquement, semer un maximum de chaos, et tenter de blanchir le nom des personnes arrêtées. Mais le plan de [identité retirée du 5e homme] est allé encore plus loin : poursuivre des attaques par rançongiciel et lancer son propre forum [url forum retiré] afin d’obtenir la même notoriété que BreachForums et recruter une nouvelle équipe de hackers. Ce plan allait à l’encontre de ce en quoi Hollow croyait — [le 5e homme] a simplement abusé de la clé PGP de ShinyHunters. »
Bref, je ne veux pas revenir sur le terme « mascarade », mais avouons que le bousin est bien rempli dans cet univers du marketing de la malveillance.
« Salesforce, Wemix… et d’autres. C’était lui, seul, sans aucun autre type : “unc1201”, “unc154”, ce sont tous ses autres comptes », explique BLDf, avec « preuves » à l’appui. « Tout message signé avec la clé PGP “SHINY HUNTERS” vient de [5e homme]. Inutile de chercher ailleurs. »
BLDf termine son explication par la diffusion de documents que je ne citerai pas ici. Ils sont TRÈS parlants.
Piratage diffusé par Lapsus, en décembre.
« Ce que nous lui reprochons, affiche pour finir BLDf, il n’a jamais cessé de se faire passer pour quelqu’un d’autre — notamment sur un canal Telegram prétendant être “Scattered LAPSUS$ Hunters”, alors que c’était une fraude : c’était juste [le 5e homme]. Salesforce – fuite de données clients et tentative d’extorsion visant l’entreprise. Millicom – tentative d’extorsion visant l’entreprise de télécommunications. Wemix – vol de jetons via un dépôt GitHub compromis. Tout cela a été fait pour faire croire aux fédéraux / au public que “ShinyHunters” n’a pas été arrêté. » Voilà qui expliquerai aussi, peut-être, pourquoi un compte Lapsus est réapparu le 13 décembre 2025, repéré par le Service de Veille ZATAZ, (il a fermé voilà 48 heures), affichant des fuites de données d’un espace étatique présumé, de la fédération nationale des négociants Voyageurs ou encore de la Boutique du Combat, obligée de fermer son site aprés le barbouillage de ses pages.
Le pirate BLDf, qui a diffusé plusieurs centaines de bases de données depuis le 16 décembre (la plupart ont plus d’un an), termine en indiquant : « Nous avons bien plus de preuves établissant son implication. FBI, BL2C, Interpol… Nous avons ce qu’il vous faut, et nous vous le donnons. Gratuitement. »
Bref. AB avait raison, j’ai un petit bidon, et ce n’est pas un « Mascarade« , c’est une « jungle » !
