LeakBase saisi par le FBI et Europol : le forum cybercriminel aux 142 000 membres, spécialisé dans les mots de passe volés, démantelé lors d’une opération mondiale

LeakBase vient de se faire couper l’herbe sous le pied, net. Le FBI et Europol ont fait fermer ce forum de cybercriminalité connu pour la vente de mots de passe volés, de “stealer logs” et d’outils de piratage. Le site affiche maintenant une bannière de saisie, et surtout, son contenu a été capturé: base de données, messages privés, journaux d’adresses IP. Quand tu gères un marché de données volées, c’est le genre de détail qui te réveille la nuit.

LeakBase tombe sous les coups du FBI et d’Europol: 142 000 membres, 13 arrestations, base saisie

Les chiffres donnent le vertige: plus de 142 000 membres, plus de 215 000 messages échangés, des dizaines de milliers de fils de discussion, et une archive d’identifiants compromis qui se compte en centaines de millions. L’opération, baptisée “Operation Leak”, a mobilisé des services dans plus d’une douzaine de pays. Résultat annoncé: 13 arrestations, 32 perquisitions, des entretiens avec 33 suspects, et autour de 100 actions de police au total, dont des mesures visant les 37 utilisateurs les plus actifs.

Operation Leak: comment le domaine a été repris

Le détail qui résume tout, c’est la prise de contrôle technique. Le FBI a redirigé le domaine de LeakBase vers des serveurs sous contrôle de l’agence. Pour l’utilisateur qui tape l’adresse, plus de forum, plus de marketplace, juste une page de saisie. Ça paraît simple vu de l’extérieur, mais derrière, tu as une coordination juridique et technique: saisies, réquisitions, coopération internationale, et synchronisation pour éviter que les admins ne disparaissent avec les sauvegardes.

Europol, de son côté, parle d’une opération menée avec des partenaires dans 14 pays. Et là, on n’est pas sur un coup de filet symbolique. Les autorités évoquent environ 100 actions répressives à travers le monde, avec 45 cibles. Ça va des mesures contre les gros contributeurs jusqu’à des actions sur l’infrastructure d’hébergement. Le but, c’est de casser l’écosystème: le site, ses relais, ses points de chute, et sa logistique.

Ce qui frappe, c’est la méthode “tout en même temps”. Saisir le forum sans capturer les données, ça sert à quoi? Tu fermes une vitrine, et elle réouvre ailleurs. Là, le message est différent: la base entière est partie chez les enquêteurs. Les contenus, les comptes, les paiements liés aux abonnements, les échanges privés, et les IP logs ont été préservés pour la preuve. Pour des enquêteurs, c’est une mine: liens entre pseudos, habitudes, fuseaux horaires, et réseaux de contacts.

Un responsable cyber du FBI, Brett Leatherman, a aussi insisté sur l’ampleur de l’enquête et sa durée: plusieurs années de travail, pilotées depuis le bureau de Salt Lake City. Et détail qui surprend certains: aucune arrestation n’aurait eu lieu sur le sol américain. Ça te rappelle un truc simple – et souvent mal compris – le cybercrime est global, mais les enquêtes aussi. Quand tu tapes sur un forum international, tu finis par aller chercher les gens là où ils vivent vraiment.

LeakBase, forum “premium” depuis 2021

LeakBase n’était pas un petit repaire planqué dans un coin. Les autorités le décrivent comme un des plus gros forums en ligne dédiés aux cybercriminels. Il tourne depuis 2021 et, en quatre ans, il a grossi vite: plus de 142 000 comptes enregistrés, plus de 33 000 fils de discussion, et plus de 215 000 messages privés. Ce volume, ça veut dire une chose: une place de marché active, avec des vendeurs, des acheteurs, des intermédiaires, et des “support” qui font tourner la boutique.

Le modèle économique était celui d’un forum sur abonnement. D’après les infos rendues publiques, certains payaient un accès “premium” via un paiement unique de quelques centaines de dollars. C’est un classique: tu mets un ticket d’entrée pour filtrer les curieux, limiter les flics débutants, et créer une illusion de club fermé. Sauf que plus tu monétises, plus tu laisses des traces: comptes, transactions, et identifiants techniques.

Le contenu, lui, était très concret: identifiants volés, données personnelles, informations bancaires, et échanges d’outils. Europol souligne un point précis: LeakBase était spécialisé dans les “stealer logs”, ces archives récupérées par des malwares voleurs d’infos. Dans la vraie vie, ça sert à prendre le contrôle d’un compte mail, d’un réseau social, d’un service cloud, ou d’un portefeuille crypto. Et une fois que tu as un compte, tu peux pivoter vers d’autres services via les réutilisations de mots de passe.

Il y avait aussi une règle interne qui en dit long sur la culture de ces forums: la Russie était apparemment “hors limites”. Pas de vente, pas de publication de données liées au pays. Ce genre de clause, tu la vois souvent dans les milieux cybercriminels russophones ou proches: ça sert à éviter des ennuis locaux, à se donner une zone de confort, et à concentrer les attaques sur des cibles “externes”. Moralité: c’est organisé, c’est politique, et c’est rarement “juste des geeks”.

142 000 membres, 215 000 messages: ce que la base révèle

Quand les autorités disent qu’elles ont “capturé la base”, ça ne veut pas juste dire qu’elles ont fermé un site. Elles récupèrent un graphe social complet: qui parle à qui, qui vend quoi, qui achète, qui recommande, qui modère. Avec 142 000 membres, tu as forcément une masse d’utilisateurs opportunistes, mais aussi un noyau dur. Europol mentionne d’ailleurs des mesures visant les 37 utilisateurs les plus actifs. C’est souvent eux qui structurent le marché et tirent les autres.

Les 215 000 messages privés, c’est l’endroit où les choses sérieuses se négocient: prix, échantillons de données, preuves de possession, conditions de paiement, et parfois même support technique. Dans ce type de dossiers, un message du style “voici un extrait, le reste après paiement” peut devenir une pièce centrale. Et si les IP logs sont là, tu peux recouper avec des connexions, des horaires, et des erreurs humaines – le VPN oublié une fois, le mauvais navigateur, le mauvais fuseau horaire.

Les autorités parlent aussi d’une archive “continuellement maintenue” de bases piratées, avec des centaines de millions de credentials, des numéros de cartes, et des infos bancaires. Là, il faut être clair: ce n’est pas juste du “leak” passif. C’est une logistique de collecte, de stockage, de mise à jour, et de revente. Et plus tu as de volume, plus tu peux faire du tri: vendre du “fresh”, proposer des packs par pays, ou segmenter par services (messagerie, e-commerce, crypto, entreprises).

J’ai demandé à un analyste menace d’une boîte de veille – qui préfère rester anonyme, tu m’étonnes – ce que ça change quand une base comme ça tombe. Sa réponse est brutale: “Le forum meurt, mais les données, elles, circulent déjà. Le vrai gain, c’est l’attribution et les liens entre acteurs.” Traduction: la fermeture ne fait pas disparaître les identifiants compromis, mais elle peut permettre d’arrêter des vendeurs, d’identifier des infrastructures, et de remonter des filières.

13 arrestations et 100 actions: la chasse mondiale

Sur le papier, “13 arrestations” peut sembler peu face à 142 000 membres. Sauf que ce n’est pas une rafle d’utilisateurs, c’est une opération ciblée. Les chiffres donnés parlent de 32 perquisitions, et d’entretiens avec 33 suspects. Ça ressemble à une stratégie en deux temps: d’abord saisir et figer la preuve, ensuite aller chercher les opérateurs, les admins, les vendeurs majeurs, et les utilisateurs qui font vraiment du volume.

Le périmètre géographique est large. Des actions ont été menées dans plusieurs pays, dont les États-Unis, l’Australie, la Belgique, la Pologne, le Portugal, la Roumanie, l’Espagne et le Royaume-Uni. Et côté infrastructure, il est question de fermetures et saisies s’étalant des Pays-Bas jusqu’à la Malaisie. Ce détail compte: beaucoup de forums jouent sur l’éparpillement (hébergeur ici, domaine là, admin ailleurs). Là, l’opération a justement visé cette dispersion.

Il y a aussi une info qui casse un cliché: aucune arrestation n’aurait eu lieu aux États-Unis, malgré le rôle central du FBI et le pilotage depuis Salt Lake City. Ça montre que le forum, ses opérateurs et ses cibles étaient transnationaux. Et ça rappelle un autre point: les services américains n’agissent pas “seuls”, ils s’appuient sur des partenaires qui ont les mains sur le terrain, les mandats locaux, et la capacité de saisir du matériel.

Le truc c’est que ce genre d’opération a un revers. Quand tu tapes fort, tu pousses les acteurs à migrer: nouveaux domaines, nouveaux forums, plus de chiffrement, plus de cloisonnement. On l’a déjà vu après d’autres fermetures de places de marché. Du coup, si tu ne suis pas derrière avec des enquêtes longues et des infiltrations, tu peux juste déplacer le problème. La différence ici, c’est la capture de la base: ça donne du carburant pour des dossiers qui peuvent durer des mois, voire des années.

Pourquoi les forums de credentials restent une machine à cash

LeakBase, d’après les autorités, vendait et échangeait des identifiants volés et des outils de piratage. Et ce marché ne faiblit pas parce que c’est le point d’entrée le plus rentable. Un mot de passe volé, ça coûte moins cher qu’un exploit sophistiqué, et ça ouvre quand même des portes: boîtes mail, comptes e-commerce, services cloud, comptes d’entreprise. Derrière, tu as la fraude, l’extorsion, et le vol de crypto. C’est basique, mais ça marche.

Europol met l’accent sur les “stealer logs”. Dans la pratique, ces logs viennent de malwares qui aspirent navigateurs, cookies, mots de passe enregistrés, parfois des jetons de session. Et ça, c’est de l’or: même si l’utilisateur change son mot de passe, un cookie ou un jeton valide peut suffire à se reconnecter. C’est pour ça que les campagnes de nettoyage et la double authentification comptent, mais ne règlent pas tout si la machine est déjà compromise.

Les autorités expliquent aussi que ces credentials servent à voler des données et de la crypto. Ce n’est pas un détail marketing, c’est la réalité du terrain: un compte mail compromis peut permettre de réinitialiser des accès, un compte cloud peut donner accès à des sauvegardes, un compte d’échange crypto peut vider un portefeuille. Et côté entreprises, un identifiant VPN ou O365, c’est parfois la porte d’entrée vers un incident majeur, avec arrêt d’activité et coûts de remédiation.

Si tu veux limiter la casse, il n’y a pas de recette magique, mais il y a des réflexes. Déjà: mots de passe uniques et longs, gestionnaire, et 2FA partout où c’est possible. Ensuite: surveiller les connexions inhabituelles, activer les alertes, et vérifier si ton mail apparaît dans des fuites connues. Pour les boîtes: MFA résistant au phishing, rotation des secrets, segmentation, et surtout une hygiène basique sur les postes, parce que les stealers se nourrissent d’ordinateurs mal protégés. LeakBase ferme, mais la demande, elle, ne disparaît pas.