ZATAZ » ShinyHunters menace Pornhub : chantage aux clients premium

ShinyHunters affirme détenir des données de clients premium de Pornhub et exige une rançon en bitcoin. L’affaire relance la question des fuites sensibles, entre preuve d’accès et pression psychologique.

Le groupe ShinyHunters menace de publier des données attribuées à d’anciens clients premium, payants, de Pornhub si le site ne paie pas une rançon en bitcoin. Les pirates disent avoir volé ces informations et promettent de les effacer en échange du paiement, selon des propos rapportés par Reuters. L’agence de Presse a reçu des échantillons, puis au moins trois anciens clients, deux Canadiens et un Américain, ont confirmé l’authenticité des données les concernant, bien qu’elles datent de plusieurs années. Pornhub et sa maison-mère Ethical Capital Partners, basée à Ottawa, n’ont pas répondu. Un incident antérieur lié à Mixpanel complique l’attribution.

Une extorsion calibrée pour une exposition maximale

Le cœur de la menace tient en une mécanique désormais classique, mais particulièrement lourde de conséquences dans ce contexte : « payer ou être exposé« . ShinyHunters [le vrai ou le faux ?] assure avoir mis la main sur des données de clients premium, donc d’utilisateurs ayant payé pour accéder à des services. Le groupe dit réclamer « une rançon en bitcoin » afin d’éviter la publication et, selon sa formule, pour supprimer les informations dérobées. L’élément clé, ici, est l’asymétrie : une plateforme peut absorber un incident technique, mais une fuite de données associée à un site pornographique porte un risque social, professionnel et personnel disproportionné pour les personnes concernées. C’est précisément ce levier que les maîtres chanteurs cherchent à activer.

Les informations disponibles restent partielles. La quantité exacte de données annoncées comme volées n’est pas connue. Cette zone grise n’est pas un détail, elle fait partie de la stratégie : laisser planer l’ampleur possible augmente la pression, sans s’exposer à une contradiction immédiate. Reuters indique avoir reçu des échantillons transmis par les pirates, ce qui suggère une volonté de prouver l’accès, au moins sur un périmètre. Dans ce type de chantage, l’échantillon joue un rôle de « preuve de vie »pornuhub  : il ne démontre pas tout, mais il vise à rendre crédible la capacité de nuisance. A noter d’ailleurs qu’en 2023, via le forum Hydra, fermé aujourd’hui (pour information l’url dirige aujourd’hui chez un revendeur d’antivirus !) une base de données baptisée PornHub leak. Rien n’empéche de penser qu’il s’agit de la même.

Le 15 janvier 2023, le Service veille de ZATAZ avait repéré cette annonce dans le darkweb.

Un point renforce la plausibilité, sans pour autant trancher l’origine : au moins trois anciens clients de Pornhub, deux Canadiens et un Américain, ont confirmé à Reuters que les données les concernant étaient authentiques. La précision temporelle, « datant de plusieurs années », compte aussi. Elle peut signifier plusieurs choses. Soit l’exfiltration remonte effectivement à longtemps comme je vous l’explique ci-dessus et réapparaît aujourd’hui sous forme d’extorsion d’un faux ShinyHunters [Celui dénoncé par les pirates du Ministére de l’Intérieur Français ?] Soit les données proviennent d’un stock plus ancien, récupéré via un canal tiers, puis recyclé. Dans les deux cas, on observe un trait fréquent des opérations d’extorsion : la valeur d’un fichier ne dépend pas seulement de sa fraîcheur, mais de la sensibilité du contexte et de la capacité à relier un individu à une activité intime.

Pornhub, de son côté, est présenté comme l’un des sites pornographiques majeurs, revendiquant plus de 100 millions de visites quotidiennes. Ce volume explique pourquoi l’affaire dépasse la simple chronique cyber. À grande échelle, une fuite potentielle se transforme en enjeu de réputation, de conformité et de confiance, et attire mécaniquement les opportunistes. Aau moment des faits rapportés, Pornhub et sa société-mère Ethical Capital Partners, basée à Ottawa, n’avaient pas répondu aux messages. Ce silence n’est pas une preuve d’inaction, mais il laisse le champ narratif aux attaquants, ce qui est précisément l’un de leurs objectifs.

Mixpanel, incident tiers et brouillard d’attribution

L’affaire s’inscrit dans un calendrier déjà chargé. Plus tôt ce mois-ci, Pornhub a annoncé un « cyber-incident » impliquant Mixpanel, un fournisseur tiers spécialisé dans l’analyse de données. Selon l’annonce, un nombre indéterminé d’utilisateurs de Pornhub aurait été affecté. L’information la plus importante, à ce stade, n’est pas seulement l’existence de l’incident, mais l’incertitude : nombre de personnes touchées non précisé, nature exacte des données concernées non détaillée, et surtout lien avec la menace actuelle non établi.

Ce flou ouvre plusieurs scénarios, qu’il faut lire avec prudence. Premier scénario : l’extorsion de ShinyHunters pourrait exploiter, directement ou indirectement, une exposition liée à Mixpanel. Deuxième scénario : la menace pourrait être indépendante, et l’incident Mixpanel servirait seulement de toile de fond, rendant l’histoire plus crédible aux yeux du public. Troisième scénario : les données confirmées comme authentiques, mais anciennes, pourraient provenir d’une source encore différente, puis être « rattachées » médiatiquement au moment où l’attention est déjà braquée sur la plateforme.

Dans tous les cas, l’épisode illustre une fragilité structurelle : la dépendance à des prestataires d’analytics et d’outillage marketing crée des chaînes de traitement où les données circulent, se dupliquent et s’agrègent. Plus il y a d’intermédiaires, plus l’enquête devient complexe, et plus l’attaquant peut jouer sur les temporalités. Il suffit parfois d’un point d’accès secondaire pour reconstituer des profils, surtout si les identifiants, emails ou traces de paiement restent corrélables.

Le fait que d’autres sociétés aient été citées comme « impactées » par la cyberattaque visant Mixpanel, dont SwissBorg, OpenAi, … renforce l’idée d’un incident transversal. Cela ne prouve pas un lien direct avec Pornhub, mais rappelle une réalité de terrain : une compromission chez un tiers peut produire des effets en cascade, et ces effets peuvent être exploités de manière opportuniste par des groupes différents, à des moments différents. D’un point de vue renseignement, c’est un terrain fertile : on peut recycler une fuite, la fragmenter, la revendre, ou la transformer en levier d’extorsion selon l’actualité et la vulnérabilité médiatique du moment.

ShinyHunters, marque criminelle et économie de la peur

ShinyHunters n’est pas décrit ici comme un acteur isolé. Le groupe est présenté comme « bien connu », impliqué ces derniers mois dans plusieurs piratages et tentatives d’extorsion de grande ampleur. Il est aussi “soupçonné” d’être à l’origine du piratage de l’éditeur américain Salesforce et de plusieurs boutiques de luxe au Royaume-Uni. L’an dernier, il a également « revendiqué » le vol de données clients chez Ticketmaster, plateforme de billetterie en ligne. Ces verbes comptent, car ils marquent des niveaux de certitude différents. « Soupçonné » n’équivaut pas à « attribué », et « revendiqué » n’est pas une preuve, mais c’est un signal : celui d’un acteur qui cherche à exister publiquement, à imposer un nom, à créer un effet de réputation. Certains pirates expliquent même que les derniers cas attribués à ce pirate ne seraient qu’un leurre.

ShinyHunters devient un titre, presque un label, comme Anonymous a pu l’être à une époque. Cette transformation en « nom générique » est un fait social autant qu’un fait technique. Elle joue sur deux plans. D’abord, elle simplifie la narration médiatique : un nom unique permet de relier des dossiers hétérogènes. Ensuite, elle sert les intérêts criminels : une marque de peur et de puissance renforce la crédibilité des menaces, facilite l’extorsion et attire parfois des imitateurs. Un label peut agréger plusieurs équipes, ou être repris, ce qui brouille l’attribution et complique le travail des enquêteurs.

Sur le plan opérationnel, l’extorsion autour de données pornographiques vise un résultat clair : pousser la cible à payer vite, pour réduire l’angoisse d’exposition des clients et la crise de confiance. Le bitcoin, cité explicitement, ajoute un paramètre pratique : la rançon s’inscrit dans un écosystème de paiement difficile à inverser une fois exécuté. Mais l’exigence de suppression, elle, reste la promesse la plus fragile du dispositif. Même si un groupe efface ses propres copies, rien ne garantit qu’aucune duplication n’a eu lieu, qu’aucun partenaire n’a reçu les fichiers, ou qu’aucun canal secondaire n’a conservé une trace. En renseignement, la donnée sensible est rarement « désapprise ». Il suffit de voir le retour sur le devant de la scéne pirate du forum BreachForums (et l’ensemble de son contenu) alors qu’il avait été fermé par les autorités, voilà plusieurs mois !

L’affaire met aussi en lumière une tension : pour prouver qu’ils détiennent réellement des informations, les extorqueurs doivent en montrer une partie. Or, ce geste accroît déjà le dommage, puisqu’il multiplie les surfaces d’exposition. Envoyer des échantillons à une agence de presse, même dans un cadre de vérification, illustre cette contradiction. On cherche la crédibilité, mais on déploie déjà la fuite, par fragments.