Le darkweb bruisse de rumeurs inquiétantes : une vague de fuites massives de données personnelles françaises secoue de nouveau l’Internet clandestin, impliquant des institutions emblématiques et des millions de citoyens.Cultura, Le Point, Autosur, Indigo, l’UNSS, La Poste, EDF, … Depuis fin avril 2025, plus d’une vingtaine de bases de données issues de grandes entreprises et d’organismes français se retrouvent de nouveau en vente sur des forums obscurs du darkweb. Derrière ces mises en ligne, une opération bien plus vaste et structurée qu’il n’y paraît, où se mêlent chantage numérique, phishing d’élite et spéculations sur les informations privées de millions de Français. L’affaire, révélée par ZATAZ et son Service de Veille, s’inscrit dans la continuité d’une activité cybercriminelle identifiée dès 2023.
Dès la fin 2023, ZATAZ relaie des rumeurs de vol et de détournement de bases de données. Des acteurs malveillants ont mis au point une méthode nommée LockUP : commercialiser les fiches clients en accédant aux administrations de sites web et de serveurs. Pour quelques dizaines d’euros, entre 10 et 100 €, un internaute pouvait obtenir tous les secrets d’une personne. En septembre 2024, l’information émerge publiquement, et les autorités commencent à s’en emparer. Fin 2024 et début 2025, plusieurs ventes sont repérées sur des blackmarkets plus ou moins crédibles. Des opérateurs télécoms et de grandes enseignes sont affectés par ces intrusions.
Le come back des leaks maudits ?
C’est alors que ZATAZ révèle ce qu’il baptise « Opération Siebel« . Tandis que certains pirates se contentent d’accès internes aux entreprises, d’autres membres du groupe malveillant choisissent de télécharger des bases entières de données. Plusieurs arrestations suivent. Des forums pirates comme BreachForums et LeakBreach ferment leurs portes, certains administrateurs disparaissent. Puis, plus rien.
Les bases de données semblent s’évaporer, jusqu’à leur réapparition en mars 2025 sous forme de phishing très ciblé, notamment via une campagne « Amazon Prime » d’une efficacité redoutable (les identités, téléphones, adresses, IBAN légitimes apparaissent dans les courriers frauduleux). Et soudain, fin avril 2025, tout s’accélère. Sur plusieurs blackmarkets surveillés par le Service Veille ZATAZ, un nombre impressionnant de fuites refait surface.
Plusieurs hackers derrière ces petites annonces ou alors un seul, sous différents pseudonymes ? Difficile de le savoir. Les bases de données du Point (journal), Cultura, Autosur, Indigo, l’Union Nationale du Sport Scolaire (UNSS) et plusieurs autres grandes marques sont diffusées. Certaines entreprises contactées par ZATAZ nous ont demandé de ne pas les citer, le temps d’une enquête interne.En avril 2025, des pirates mettent en vente plus de 20 bases de données françaises, avec des prix allant de quelques centaines d’euros à plus de 10 000 € pour celle de France Travail.
Les noms se multiplient, les prix aussi. Certains dossiers valent quelques centaines d’euros, d’autres 3 000$, comme Indigo, ou encore peuvent atteindre 10 000$, payables en cryptomonnaie. La base la plus chère que nous avons vu à vendre reste celle de France Travail, qui contiendrait 43 millions d’entrées. Bluff ou véritable fuite et vente ? « No sé » comme le dit le Capitaine Haddock dans les Aventures de Tintin.
Autre détail intéressant : une base de données « La Poste » s’est aussi retrouvée dans la nature, dans une petite annonce repérée par ZATAZ. Le lieu de stockage date du 21 août 2023. Un stockage toujours accessible (SIC!) alors qu’un simple courriel au service abuse aurait pu permettre de la détruire ! Nous n’avons pas regardé le contenu, il nous est interdit de le faire sans autorisation des propriétaires (RGPD). Nous ne savons donc pas s’il s’agit de données extraites du rançonnage orchestré en 2022 par LockBit à La Poste Mobile. Notre expérience nous ferait cependant pencher pour cette situation !Un marché noir bien organisé : France Travail, Indigo, …
Certaines ventes sont probablement des pièges, comme celles de SFR, EDF ou Free. Un vendeur semble parfois ignorer lui-même ce qu’il propose ou cherche à piéger d’autres cybercriminels. Mais des ventes apparaissent beaucoup plus préoccupantes. Pour les analyser, le Service Veille ZATAZ se base sur divers éléments : les forums utilisés, l’accès restreint imposé, les retours d’acheteurs, les méthodes de paiement, les traces sociales et les échantillons (samples). Certains « samples » affichent des IBAN ou numéros de Sécurité sociale !
merci à ZATAZDes extraits diffusés contiennent des données inédites, renforçant la crédibilité de plusieurs bases en circulation sur le darkweb.
