BreachForums : un domaine du forum cybercriminel saisi par les autorités

Génération NT / Actualités / BreachForums : un domaine du forum cybercriminel saisi par les autorités

Publié le 13 octobre 2025 à 16:40 par Jérôme G.

En collaboration avec les autorités françaises, le FBI a saisi un nom de domaine de BreachForums utilisé par le groupe Scattered Lapsus$ Hunters pour une campagne d'extorsion visant les clients de Salesforce.

Dans le cadre d'une action coordonnée, les forces de l'ordre américaines et françaises ont mis hors ligne l'un des portails du forum cybercriminel BreachForums. Il servait de plateforme pour faire chanter des dizaines d'entreprises victimes d'une fuite de données liée à Salesforce.

Avec une extension .hn, le nom de domaine daffiche désormais une bannière de saisie officielle. L'opération a été menée juste avant la date butoir que les cybercrmininels avaient fixée pour commencer à publier les informations volées si des rançons n'étaient pas payées.

Le groupe se faisant appeler Scattered Lapsus$ Hunters, et regroupant des membres de collectifs connus comme ShinyHunters, Scattered Spider et Lapsus$, utilisait le site pour lister ses victimes.

Comment s'est déroulée cette saisie internationale ?

L'opération a été rendue publique lorsque les visiteurs du site ont été accueillis par un message indiquant sa saisie par le FBI, le département de la Justice des États-Unis, aux côtés de leurs homologues français de la Brigade de Lutte Contre la Cybercriminalité (BL2C) et de la Juridiction nationale de lutte contre la criminalité organisée (JNLCO).

Les serveurs de noms du domaine ont été redirigés vers ceux contrôlés par le gouvernement américain, une tactique classique lors de telles saisies. L'objectif était de couper l'herbe sous le pied des cybercriminels, avant qu'ils ne puissent mettre leur menace à exécution et publier les données de plus d'un milliard d'enregistrements clients qu'ils affirment avoir dérobés.

La réaction des cybercriminels

Loin d'être abattus, les cybercriminels ont rapidement communiqué via leur canal Telegram pour confirmer la prise de contrôle du domaine, tout en minimisant son impact.

Ils ont assuré que cette action " n'a aucun impact sur nos campagnes Salesforce " et que la publication des données volées aurait bien lieu comme prévu, mais sur leur site miroir hébergé sur le réseau Tor, qui a été rapidement restauré. Qantas semble en avoir fait les frais.

Dans un message signé avec leur clé PGP, les membres de ShinyHunters ont même ajouté que cette saisie était inévitable et que l'ère des forums en clair est terminée, suggérant que de telles plateformes devraient désormais être considérées comme des pièges potentiels mis en place par les autorités.

Les implications au-delà de la saisie

A priori sans arrestation, l'implication la plus significative de l'opération des forces de l'ordre n'est peut-être pas la saisie du domaine lui-même. Elles auraint mis la main sur toutes les sauvegardes de la base de données de BreachForums depuis 2023.

De telles archives pourraient contenir des informations sur les membres et les activités du forum, ouvrant la voie à de futures enquêtes et arrestations. Reste que jusqu'à présent, l'écosystème cybercriminel fait preuve d'une grande résilience.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire