Les cybercriminels transforment de plus en plus les énormes collections d’identifiants volés par des infostealers en services consultables sur le marché clandestin. Les acheteurs peuvent ainsi commander des identifiants pour une entreprise, une plateforme, un nom de domaine, une zone géographique ou un type de compte spécifique.
Des chercheurs de Flare ont analysé 470 messages publiés sur des forums clandestins entre janvier 2025 et juin 2026. Ces messages provenaient de diverses sources et concernaient des acteurs qui proposaient de chercher et d’extraire des identifiants volés dans leurs bases de données. Le jeu de données incluait des publicités, des republications, des retours d’acheteurs, des références tarifaires et des litiges sur la qualité et la validité.
Les résultats révèlent l’existence d’une couche de services spécialisés qui s’intercale entre les infections par des infostealers, le commerce des logs bruts et les activités de prise de contrôle de comptes. Le profil des cybercriminels qui offrent ces services se divise entre les fournisseurs de Malware-as-a-Service et leurs clients.
Ils agissent souvent comme des courtiers en identifiants ou des traiteurs de données. Ils monétisent l’immense volume de logs et leur capacité à rechercher, filtrer, formater et livrer des résultats ciblés à partir de grandes collections de données d’accès volées.
Points clés
-
L’analyse des 470 posts démontre l’existence d’un service précis qui propose l’extraction ciblée, le filtrage, la déduplication, le formatage et la garantie de fraîcheur à partir d’immenses bases de données d’infostealers qui contiennent des dizaines de milliards de lignes. Il fonctionne comme une alternative aux « combo lists ». Au lieu d’acheter un dump massif, les acheteurs interrogent la base existante d’un vendeur et reçoivent uniquement les résultats qui correspondent à leur cible.
-
Ce marché recoupe partiellement celui des Initial Access Brokers, mais il ne lui est pas identique. Les formats de données de sortie courants incluent URL:LOGIN:PASS, MAIL:PASS, LOGIN:PASS, PHONE:PASS, MAIL:PHONE et MAIL:LOGIN.
-
Les retours des acheteurs montrent un écart entre ce qui est promis et les résultats réels. En pratique, le volume est souvent plus faible, les identifiants sont fréquemment invalides ou dupliqués et leur taux d’utilisation réel est bas.
Fonctionnement du service « Recherchez votre cible »
Le marché « Recherchez votre cible » occupe une position centrale dans la chaîne de prise de contrôle de comptes.
Dans un premier temps, les infostealers infectent des appareils et collectent des identifiants, des cookies, des données de remplissage automatique et d’autres artefacts de navigation. Ensuite, ces logs sont agrégés et insérés dans des clouds privés, des bases de données ULP, des dumps publics ou des collections basées sur l’échange. Puis, les cybercriminels du service de « recherche » extraient les lignes qui correspondent aux demandes des acheteurs. Ces derniers valident ensuite les identifiants et les utilisent pour des prises de contrôle de comptes, des fraudes, du spam, du phishing, du vol de cryptomonnaies ou des intrusions en entreprise.
Cela signifie que les vendeurs de cet écosystème ne sont souvent ni la première ni la dernière étape. Ils représentent la couche de traitement qui transforme le bruit des identifiants volés en matériel d’attaque ciblé.
D’un point de vue cadre du renseignement sur les menaces, ce modèle de service représente un exemple pratique de la technique T1589.001 (Collecter les informations d’identité de la victime : identifiants), où les adversaires recherchent et acquièrent activement des identifiants avant l’exploitation. Il peut aussi relever de la technique T1650 (Obtenir un accès), car certains vendeurs fournissent des résultats qui ne se distinguent pas d’une fourniture d’accès direct.
L’économie du marché « Recherchez votre cible »
À l’image du marché des attaques DDoS, où l’acheteur soumet un nom de domaine et le prestataire l’attaque, ce service est dupliqué et propose le même pipeline.
- Un acheteur envoie une cible.
- Le vendeur retourne les identifiants correspondants.
Cette cible peut être un nom de domaine d’entreprise, une URL de connexion, un site e-commerce, une plateforme de jeu, une application, un marché géographique ou une liste d’adresses email. Le résultat est généralement livré dans des formats tels que URL:LOGIN, URL:LOG, MAIL, LOGIN, PHONE, ou d’autres combinaisons selon la demande.
Plusieurs vendeurs clandestins mettent en avant la taille de leur base de données comme argument de vente. Un acteur a annoncé une base de données « ULP 5kkk+ lignes » (5 000 000 000), un accès rapide en 10 à 15 minutes, des mises à jour quotidiennes et des sources qui incluraient des logs privés, des clouds privés, des flux personnels et des données publiques. Un autre a promu une base URL:LOG de « 10kkk+ lignes », de plus de 1 To. D’autres affirment avoir accès à des collections qui vont de centaines de millions à des dizaines de milliards d’enregistrements.
La taille de la base de données n’est pas le seul argument. Les cybercriminels mettent aussi en avant d’autres capacités dans leur discours commercial. Ils vantent leurs possibilités de recherche, la fraîcheur des données, le formatage et la pertinence.
Certains proposent une simple extraction par domaine, tandis que d’autres offrent des services plus personnalisés, comme l’extraction de comptes email pour une boutique, un site web, une application ou un jeu spécifique. En réalité, les attaquants font la promotion de leurs capacités techniques à indexer les données dans des bases, à les mettre à jour et à permettre une recherche rapide et pratique.
Par exemple, l’un des vendeurs a annoncé que les clients pouvaient soumettre une requête pour seulement 20 dollars, avec un paiement supplémentaire basé sur le volume de résultats retournés.
Le jeu de données montre aussi des formes plus avancées d’enrichissement des identifiants. Un acteur a déclaré avoir accès à des collections séparées d’emails, de mots de passe, de logins, de numéros de téléphone et de paires URL:Login. Il a décrit comment ces enregistrements pouvaient être combinés.
Par exemple, un acheteur qui ne possède qu’une liste d’emails peut demander les paires login/mot de passe correspondantes. Un autre qui cherche une zone géographique spécifique peut recevoir des résultats construits à partir de codes pays, de domaines, d’URLs, de villes et de modèles de mots de passe.
Cela indique que les cybercriminels utilisent des bonnes pratiques de gestion de données, à l’instar des entreprises légitimes ordinaires.
Les retours clients révèlent un écart entre la publicité et la réalité
Les retours des clients indiquent que les vendeurs en font trop dans leurs promesses et pas assez dans les livraisons. Certains acheteurs affirment que certains vendeurs ne sont pas crédibles. D’autres signalent que les identifiants sont invalides, et les vendeurs répondent qu’ils n’ont jamais vérifié leur validité. Certains disent qu’il s’agit des mêmes données qui apparaissent dans les grandes « combo lists » publiées gratuitement sur le web clandestin.
D’autres prétendent que ces bases de données contiennent beaucoup de doublons. L’un a même déclaré que sur 3000 enregistrements, seulement 200 étaient uniques.
Si le concept des grandes « combo lists » ou des fichiers d’identifiants agrégés n’est pas nouveau, ce service reste une offre unique qui peut, si elle est bien exploitée, mettre de nombreuses entreprises et organisations en danger.
Un développement parallèle au marché des infostealers
Au cours des dernières années, les familles d’infostealers et les places de marché de logs ont produit des quantités astronomiques d’enregistrements. Ces collections incluent des identifiants stockés dans les navigateurs, des cookies, des données de remplissage automatique et des informations sur les appareils. Elles ne cessent de croître et créent un défi pour les acheteurs qui veulent les exploiter à des fins lucratives.
L’opération pour en extraire plus facilement de la valeur a représenté une opportunité commerciale. Par conséquent, un acheteur qui a généralement un objectif précis peut gagner du temps et de l’argent avec ce service.
Comparaison entre le marché « Recherchez votre cible » et le marché des IAB
Le marché « Recherchez votre cible » est souvent lié à une recherche générale d’un email, d’une entreprise ou d’une personne. La validité et la « fraîcheur » de l’accès ne sont pas garanties, et l’acheteur paie essentiellement pour une recherche, une découverte et des résultats. Ce marché recoupe partiellement celui des brokers d’accès initial.
Lorsque les acheteurs recherchent un accès à des VPN d’entreprise, des plateformes SaaS, des comptes email, des environnements cloud, des panneaux d’administration ou des systèmes d’accès à distance, le résultat peut devenir un accès initial si ces marchés se superposent.
Cependant, le marché des IAB est souvent plus cher, plus prestigieux et sert de « service sur mesure ». Ils vendent un accès validé qui peut souvent contourner l’authentification multifacteur et permet in fine de pénétrer dans une organisation.
Ce que les défenseurs doivent retenir
Le marché « Recherchez votre cible » montre que les attaquants n’ont plus besoin de traiter manuellement des dumps massifs pour trouver ce qui les intéresse. Ils peuvent externaliser ce travail à des vendeurs spécialisés dans la transformation de collections désordonnées d’identifiants en listes de cibles focalisées. Pour les défenseurs, le défi est d’identifier et de fermer ces voies d’exposition avant qu’un acheteur ne les transforme en accès.
Flare aide les équipes de sécurité en leur donnant une visibilité sur ces marchés clandestins et en surveillant les identifiants de salariés exposés, les domaines d’entreprise, les portails de connexion, les applications SaaS et les indicateurs associés à travers les sources du deep et dark web.
Cela permet aux organisations de détecter quand leurs points d’accès apparaissent dans des collections d’identifiants ou des publicités pour des services de recherche. Elles peuvent ainsi prioriser les expositions les plus pertinentes et réagir plus vite avec des réinitialisations de mot de passe, des révocations de session, l’application de l’authentification multifacteur et l’investigation d’une utilisation frauduleuse potentielle de compte.