Un outil clandestin découvert par ZATAZ agrège des milliards de données volées et les rend consultables en quelques secondes. Une industrialisation inquiétante de l’exploitation des fuites, avec un ancrage français.
Ce service baptisé du nom d’un personnage de jeu vidéo [ZATAZ ne donnera pas son nom] fonctionne comme un moteur de recherche dédié aux données compromises. L’utilisateur saisit un nom, un courriel ou un numéro, puis obtient instantanément des correspondances issues de bases piratées. L’ampleur frappe immédiatement. Plus de 27 milliards d’adresses électroniques seraient indexées. Le système recense aussi plus de 14 milliards de noms et prénoms, 12 milliards de numéros de téléphone et environ 10 milliards d’identifiants. L’ensemble provient de plus de 5 000 bases de données compromises.
Un moteur clandestin alimenté par des fuites massives
Lockup ne se contente pas d’archiver des fichiers. Il structure, croise et rend interrogeables des ensembles de données issus de multiples incidents de sécurité. Cette logique transforme des fuites éparses en une base exploitable en continu. L’outil s’apparente à un moteur classique dans son ergonomie, ce qui réduit fortement la barrière technique. Quelques mots suffisent pour obtenir un profil partiel d’une personne ou d’une organisation.
Le volume annoncé, plus de 27 milliards de courriels, suggère un agrégat de multiples incidents cumulés sur plusieurs années. Le croisement de 14 milliards de noms avec 12 milliards de numéros augmente la capacité de corrélation. Cela facilite la reconstitution d’identités complètes, voire de réseaux relationnels. Le pirate concepteur de cet espace parle de plus de 5 000 bases de données en sa possession !
Le recours à une intelligence artificielle pour coder l’outil est repérable. Une telle couche technique permet d’accélérer la recherche et d’améliorer la pertinence des résultats. L’utilisateur obtient ainsi des correspondances plus précises, issues de bases différentes, sans manipulations complexes.
Un modèle économique discret et accessible
L’accès à ce Lockup repose sur un paiement à l’usage. Le concepteur facture chaque recherche entre 0,13 € et 0,04 € selon le niveau d’abonnement. Les forfaits annoncés s’étendent de 10 € à 120 €. Les règlements s’effectuent en cryptomonnaie, ce qui limite la traçabilité financière classique. Ce positionnement tarifaire vise une diffusion large. Le coût unitaire faible abaisse le seuil d’entrée pour des acteurs variés, du simple curieux au cybercriminel.
Ce modèle s’inscrit dans une tendance observée depuis plusieurs années par ZATAZ. Les données volées ne sont plus seulement revendues en blocs à des groupes de scammeurs et autres escroqueries [FoVI, Etc]. Elles sont désormais proposées comme un service, avec une interface simplifiée. Cette logique rapproche ces plateformes de services légitimes, tout en exploitant des contenus illicites. Le paiement à la requête transforme l’information en produit fractionné, monétisé à grande échelle comme le montre notre vidéo de la visite de cet espace pirate.
L’ancrage supposé en France ajoute une dimension particulière. Si cette origine se confirme, elle expose le concepteur à un cadre juridique strict. Les autorités françaises disposent de moyens d’enquête spécialisés en cybercriminalité, notamment pour remonter des infrastructures ou identifier des flux financiers, même en cryptomonnaie.
Des risques juridiques majeurs pour tous les acteurs
La création et l’exploitation d’un tel service exposent à plusieurs qualifications pénales. En droit français, le traitement et la mise à disposition de données issues d’un accès frauduleux à un système sont réprimés. La conservation et la diffusion de fichiers contenant des informations personnelles obtenues illicitement constituent des infractions distinctes. Les peines peuvent inclure des amendes importantes et des peines d’emprisonnement, dont la durée dépend de la gravité et du caractère organisé des faits.
Le concepteur pourrait également être poursuivi pour blanchiment si les revenus issus de l’activité sont dissimulés ou convertis afin d’en masquer l’origine. L’usage de cryptomonnaies ne supprime pas ce risque. Les transactions peuvent être analysées a posteriori, surtout si des points de conversion vers des monnaies classiques sont identifiés.
Les utilisateurs ne sont pas à l’abri. Consulter, acquérir ou exploiter des données issues d’un piratage peut constituer un recel de données obtenues frauduleusement. L’utilisation de ces informations, par exemple pour usurper une identité ou mener des campagnes de phishing, aggrave encore la qualification pénale. Même une consultation sans exploitation active peut être retenue selon le contexte et l’intention.
Au-delà du droit pénal, le cadre de la protection des données personnelles s’applique. Le Règlement général sur la protection des données prévoit des sanctions administratives en cas de traitement illicite. Une personne ou une entreprise qui utiliserait ces informations dans un cadre professionnel s’expose à des amendes élevées et à des mesures correctrices.
Enfin, l’existence d’un tel outil renforce les risques opérationnels pour les organisations. La facilité d’accès à des profils enrichis favorise les attaques ciblées, notamment l’ingénierie sociale. La combinaison d’un nom, d’un courriel et d’un numéro permet de crédibiliser des tentatives de fraude. L’industrialisation de ces pratiques constitue un enjeu majeur pour le renseignement cyber, qui doit anticiper et détecter ces usages à grande échelle.
La montée de ces moteurs clandestins illustre une mutation du cybercrime vers des services structurés, où la donnée volée devient une ressource indexée, monétisée et immédiatement exploitable. D’autres moteurs de recherche existent, comme celui mis en place par des hacktivistes Ukrainiens qui affichent des millions d’informations de Russes.
