État du Dark Web en 2026 : Écosystème de cybercriminalité russophone, menace persistante des logiciels malveillants voleurs d’informations et de Telegram

Par Christopher Budd, évangéliste en cybersécurité

Quel est l'état du dark web actuellement ?

Le principe directeur est le suivant : le dark web n’est pas statique, il fonctionne comme une économie de marché où de nouveaux sites et boutiques apparaissent et disparaissent régulièrement. Et il réserve des développements inattendus et imprévisibles.

Éric Clay (directeur marketing) et Mathieu Lavoie (CTO), qui codirigent Flare Research, ainsi que Tammy Harper, chercheuse principale en renseignement sur les menaces spécialisé dans les Rançongicielss ; Chris d'Eon, chercheur en renseignement sur les menaces se concentrer sur la Corée du Nord (RPDC) ; et Oleg Lypko, chercheur en renseignement sur les cybermenaces Spécialisés dans la cybercriminalité russophone, ils ont récemment évoqué leur travail de surveillance de la cybercriminalité lors du panel annuel sur l'état du Dark Web. 

Poursuivez votre lecture pour découvrir les points saillants ainsi que les recherches complémentaires que notre équipe a ajoutées depuis la réunion du panel. Mieux encore, Rejoignez le serveur Discord de la Flare Academy Pour accéder à la formation complète et obtenir toutes les informations, y compris les astuces et conseils non abordés dans ce résumé, consultez le document. Même si vous avez déjà suivi la formation, ce document vous apportera des informations complémentaires qui approfondissent les points traités.

Principaux enseignements sur la cybercriminalité en 2026

• L'invasion russe de l'Ukraine continue de façonner les tendances dans le cybercriminalité russophone écosystème, ce qui a entraîné à la fois une coopération accrue entre les forces de l'ordre occidentales et ukrainiennes et une instrumentalisation croissante de la cybercriminalité par la Russie. 
• Les opérations de démantèlement génèrent de la valeur au-delà de leur perturbation initiale : Si certains remettent en question l'efficacité à long terme des fermetures de forums, car la fermeture liée à la faille XSS a entraîné la remise en ligne du forum sous une nouvelle direction et la création d'un autre forum, d'autres impacts moins évidents de ces fermetures, tels que la fragmentation des communautés et l'érosion de la confiance, montrent que la perturbation est efficace. 
• La chute du voleur de Lumma illustre que, parfois, les forces de l'ordre ne représentent pas le plus grand risque pour les cybercriminels., d'autres cybercriminels peuvent l'être. 
• Malware voleur d'informations demeure une menace évolutive même après la disparition du voleur Lumma : Les identifiants d'entreprise sont de plus en plus menacés. 
• Telegram demeure la plateforme dominante pour les acteurs malveillants : Plus de 90 % des journaux de voleurs que Flare voit se trouvent sur Telegram !

Écosystème de cybercriminalité russophone

Il est important de faire une distinction concernant l'écosystème de la cybercriminalité russophone : russophone ne signifie pas né en Russie ou de nationalité russe. 

La carte ci-dessous illustre la répartition géographique des locuteurs natifs du russe en Russie et dans les régions avoisinantes d'Eurasie, du Moyen-Orient et d'Europe.

Pourcentage de la population qui considère le russe comme sa langue maternelle

La répartition géographique des russophones illustre l'importance de cette distinction. Le russe est la langue maternelle de 85.7 % de la population russe, mais aussi de 70 % en Biélorussie, 34 % en Lettonie, 30 % en Ukraine et en Estonie, et 21 % au Kazakhstan. On compte également 700 000 russophones en Chine.

La langue russe ne se résume pas au russe : une étude de cas

Victoria Dubranova fournit un exemple documenté d'un acteur malveillant russophone qui n'est ni en Russie ni né en Russie. 

Dubranova, également connue sous les pseudonymes de Vika, Tory et SovaSonya, est une ressortissante ukrainienne dont les sympathies personnelles la rapprochent de la Russie. Selon CyberScoop, elle a été inculpée en décembre 2025 pour sa participation à deux opérations de piratage informatique commanditées par l'État russe, ciblant des réseaux de distribution d'eau, des usines agroalimentaires et des réseaux gouvernementaux aux États-Unis et dans des pays alliés. Dubranova est soupçonnée d'appartenir à la CyberArmyofRussia_Reborn (CARR), également connue sous les noms de Z-Pentest et NoName057(16). Son cas illustre parfaitement plusieurs tendances de la cybercriminalité russophone que nous analysons. Le fait qu'elle ne soit ni née ni de nationalité russe ne fait que confirmer notre argument : parler russe ne signifie pas être de nationalité russe.

Les acteurs malveillants utilisent-ils le langage pour compliquer l'attribution des actes ?

Ce type d'attaque est relativement rare, et la plupart des attaquants utilisent les langues nécessaires à leurs activités et à leur intégration au sein de leurs communautés. Nos chercheurs n'ont observé qu'un seul cas où une personne aurait délibérément mélangé un russe approximatif et un anglais approximatif pour brouiller les pistes d'analyse, mais il s'agissait d'une exception.

L'utilisation d'un langage codé au sein d'une communauté linguistique est plus fréquente. Nous en avons trouvé un exemple dans les milieux de la cybercriminalité sinophone, où des acteurs malveillants utilisent des caractères à la prononciation similaire mais à l'intonation différente pour contourner les filtres de contenu. Par exemple, ils écrivent le mot désignant les jeux de hasard (博彩, bó cǎi) sous la forme 菠菜 (bō cài, littéralement « épinards ») afin d'échapper aux recherches par mots-clés.

Principales tendances de l'écosystème de la cybercriminalité en langue russe

Les principales tendances de la cybercriminalité en langue russe au cours de l'année écoulée sont marquées par un facteur prépondérant : la guerre en Ukraine. Ces tendances sont liées à deux évolutions majeures.

Premièrement, la coopération entre les forces de l'ordre occidentales et l'Ukraine se poursuit et s'intensifie. Deuxièmement, la coopération entre les forces de l'ordre occidentales et la Russie diminue continuellement, ce qui va de pair avec l'instrumentalisation croissante de la cybercriminalité par la Russie.

Renforcement de la coopération entre les forces de l'ordre occidentales et l'Ukraine

Nous avons déjà constaté un exemple flagrant du renforcement de la coopération entre les forces de l'ordre occidentales et l'Ukraine : l'extradition de Dubranova. Outre cet exemple, plusieurs autres témoignent des résultats de cette coopération accrue au cours de l'année écoulée. Opération Fin de partie, le Arrestation à Kyiv de l'administrateur présumé du forum XSS, ainsi Opération Eastwood sont tous le fruit d'une collaboration plus étroite entre l'Ukraine et les forces de l'ordre occidentales. 

Opération Fin de partie Il s'agissait de la plus vaste opération jamais menée contre des réseaux de zombies tels que IcedID, SystemBC, Pikabot, SmokeLoader et Bumblebee. Les forces de l'ordre ukrainiennes ont procédé à trois des quatre arrestations effectuées dans le cadre de cette opération et ont apporté leur soutien aux perquisitions sur le territoire ukrainien. Cet effort international coordonné a également permis la saisie de plus de 100 serveurs et d'environ 1 300 noms de domaine utilisés dans l'infrastructure de ces logiciels malveillants.

Le Arrestation de « Toha » L'attaque (dont le pseudonyme présumé est celui d'Anton Gannadievich Medvedovskiy), administrateur présumé du forum XSS, a eu lieu à Kyiv en juillet 2025, avec le plein soutien des autorités ukrainiennes. Actif depuis 2018, XSS hébergeait environ 50 000 comptes et aurait généré plus de 7 millions de dollars de profits illicites en servant de plateforme où des criminels vendaient des logiciels malveillants, échangeaient des accès à des systèmes compromis et faisaient la promotion de services de rançongiciels. 

Opération EastwoodL'opération, menée également en juillet 2025, était une opération conjointe d'Europol et d'Eurojust, avec le soutien de 12 pays, contre un groupe de cybercriminels pro-russe nommé NoName057(16). BleepingComputer décrit ce groupe comme « un groupe de pirates informatiques pro-russes qui a vu le jour en mars 2022, après le début de la guerre en Ukraine ». Il convient également de noter que NoName057(16) est l'un des deux groupes auxquels Dubranova aurait appartenu.

Fin 2025, selon le site de l'opération de démantèlement, celle-ci avait impliqué près de 20 pays et avait entraîné la perturbation de plus de 100 serveurs d'attaques par déni de service distribué (DDoS). 

L’opération Eastwood est un exemple particulièrement éloquent des tendances actuelles, car elle illustre non seulement la coopération accrue entre l’Ukraine et les forces de l’ordre occidentales, mais aussi comment l’évolution de la situation du côté russe rapproche naturellement ces deux parties, à mesure que la cybercriminalité et son « instrumentalisation » par la Russie augmentent.

Diminution de la coopération russe et instrumentalisation de la cybercriminalité 

Du côté russe, les forces contraires à l'équation des répercussions de la guerre en Ukraine sont en réalité représentées par deux tendances distinctes mais intimement liées : la diminution de la coopération policière et l'instrumentalisation de la cybercriminalité. 

La Russie permet à son écosystème cybercriminel d'attaquer les pays occidentaux, tout en coopérant de moins en moins avec les arrestations des acteurs malveillants russes. 

Le gouvernement russe, et parfois les gouvernements ukrainien et biélorusse (du moins par le passé), ont instrumentalisé les communautés et les dirigeants cybercriminels à des fins financières et pour des motivations politiques.

L'instrumentalisation représente un point de convergence entre les États et les acteurs cybercriminels. Les États peuvent tirer profit des capacités et de l'expertise des cybercriminels pour mener des opérations en leur nom. Les cybercriminels, quant à eux, bénéficient de la tolérance, voire de la protection, des autorités locales, ce qui peut aller jusqu'à entraver les activités des forces de l'ordre qui, par le passé, auraient abouti à une coopération.

Le cas de Dubranova en est un excellent exemple. Communiqué de presse de l'EPA L'acte d'accusation de Dubranova expose clairement et simplement le mode opératoire présumé de CARR et les mécanismes d'instrumentalisation. « CARR a été fondée, financée et dirigée par la Direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU). CARR a mené des dizaines de cyberattaques destructrices à travers le monde, y compris contre des infrastructures critiques aux États-Unis. » Autrement dit, CARR est créée et dirigée par des acteurs étatiques russes, mais composée d'acteurs non étatiques et, dans le cas de Dubranova, de cybercriminels russophones qui ne sont pas de nationalité russe.

Outre les avantages déjà évoqués, l’instrumentalisation offre aux États-nations un moyen d’atteindre leurs objectifs tout en conservant une « possibilité de déni plausible ».

L'instrumentalisation n'est pas un phénomène nouveau. En effet, l'un des exemples les plus connus de cybercriminalité instrumentalisée est le piratage du serveur de messagerie de Clinton en 2016. L'auteur de cette attaque contre la messagerie de la candidate à la présidence américaine Hillary Clinton était l'administrateur d'un forum de cybercriminalité et avait été engagé par deux agents du FSB pour mener à bien cette attaque. 

En savoir plus sur le Forums en langue russe surveiller Cybercriminalité russe et militarisation de l'État.

Interventions : Mesurer l'efficacité au-delà de la perturbation initiale

Les opérations de démantèlement soulèvent toujours des questions quant à leur efficacité à long terme. Les événements de 2025 et du début de 2026 apportent une réponse nuancée, qui dépasse la simple opposition entre « succès » et « échec ».

Le fragmentage XSS

Même après l'arrestation de Toha, XSS est toujours présent à l'heure où nous écrivons ces lignes. L'opération a provoqué une scission, créant deux forums là où il n'y en avait qu'un.

Quelques jours plus tard, un nouvel administrateur contesté dont l'identité impossible de vérifier L'équipe de modération en place a relancé une attaque XSS sur une nouvelle infrastructure. Cette personne inconnue a banni des modérateurs expérimentés et installé un nouveau système. personnel de mauvaise réputation sans pratiquement aucun historique de messages, et a relancé la présence du forum sur le web classique sous le domaine xss[.]pro, portant désormais un Le drapeau russe dans le logo. 

Dans une décision à forte connotation politique, la nouvelle administration du site a également cessé de considérer l'Ukraine comme un pays de la Communauté des États indépendants (CEI), efficacement lever l'interdiction de longue date Concernant la vente de contenus offensants ciblant des entités ukrainiennes, une règle que XSS appliquait depuis des années, de même que d'autres grands forums russophones, ces changements ont alimenté des rumeurs persistantes selon lesquelles le forum serait devenu un piège pour les forces de l'ordre, ou, à l'inverse, qu'il aurait été infiltré par des acteurs liés aux intérêts de l'État russe.

Le août 2, 2025, huit modérateurs destitués ils ont collectivement lancé DamageLib comme le « véritable » successeur. Le nom était un clin d'œil délibéré à DaMaGeLaB, le forum original que Toha avait relancé sous le nom de XSS en 2018. Dans des interviews, l'un des fondateurs a expliqué que XSS avait fonctionné comme un «fournisseur d'infrastructure pour les entreprises de Rançongiciels« et que DamageLib interdirait délibérément toute activité commerciale afin d’éviter de s’exposer aux mêmes pressions des forces de l’ordre. »

La communauté s'est divisée selon des critères de confiance. Fin août 2025, DamageLib avait attiré environ 59 000 comptes enregistrés, soit environ les deux tiers de la base d'utilisateurs de XSS, qui compte environ 51 000 personnes. Cependant, l'engagement est resté bien plus faible : seulement 248 discussions et environ 3 100 messages au cours de son premier mois, contre plus de 14,400 messages sur XSS au cours du mois précédant la saisie. Trafic vers le Le forum sur les exploits a connu une forte augmentation. de près de 24 %, les acteurs diversifiant leurs investissements sur plusieurs plateformes, et plus de 6 millions de dollars de dépôts d'utilisateurs La question est restée controversée, empoisonnant davantage les relations. La décision délibérée de DamageLib absence de marché et de système de séquestre Cela peut certes le protéger des forces de l'ordre, mais cela limite aussi les incitations économiques qui favorisent la fidélité aux forums. Le résultat net n'a pas été l'élimination, mais la fragmentation et une profonde érosion de la confiance.

La crise RAMP : un schéma différent, un même résultat

Six mois plus tard, un scénario différent se déroulait. Le 28 janvier 2026, le FBI ont saisi le marché anonyme russe (RAMP), un forum qui fonctionnait depuis mi-2021 comme l'un des rares espaces clandestins explicitement accueillant Promotion de Rançongiciels en tant que service. RAMP a émergé précisément parce que des forums comme XSS et Exploit avaient interdit le contenu relatif aux Rançongicielss suite aux retombées de l'affaire Colonial Pipeline, et il est devenu un centre névralgique pour des groupes tels que LockBit, ALPHV/BlackCat, Qilin et DragonForce. Malgré ce rôle prépondérant, RAMP est restée une communauté relativement petite : environ 300 utilisateurs actifs et un peu plus de 3 000 messages en 2023, illustrant comment un forum de niche peut avoir un impact bien supérieur à sa taille dans l'écosystème des Rançongicielss.

La saisie a remplacé les sites web classiques et les sites Tor de RAMP par une bannière du FBI. raillé ostensiblement Le slogan du forum. Il a été mené en coordination avec le bureau du procureur des États-Unis pour le district sud de la Floride et la section de la cybercriminalité et de la propriété intellectuelle du ministère de la Justice, et les enregistrements DNS l'ont confirmé. contrôle total des forces de l'ordre des domaines. L'un des fondateurs originaux de RAMP, Mikhaïl Matveev (également connu sous le nom de Wazawaka), avait déjà été arrêté en Russie en 2024.

Contrairement à l'affaire XSS, l'administrateur restant de RAMP, connu sous le nom de « Stallman », un figure bien connue dans le domaine des XSS et de l'exploitation, a publiquement confirmé le retrait et a déclaré sans ambiguïté que Il n'y avait aucun plan de reconstructionSon hésitation était probablement due à la crainte d'être arrêté : Yelisey Bohuslavskiy, cofondateur de RedSense. évalué que Stallman était désormais considéré comme un « atout inutile pour les services russes » et qu'il serait probablement le prochain sur la liste des arrestations suite à la vague d'arrestations de cybercriminels en 2025.

Pourtant, même sans successeur direct, l'écosystème s'est adapté. La disparition d'un centre névralgique majeur a entraîné une migration plutôt qu'une élimination, et ces transitions ont été « souvent chaotiques, engendrant de nouveaux risques pour les acteurs malveillants : perte de réputation, instabilité des services de séquestre, exposition opérationnelle et infiltration ». 

Les auteurs du Rançongiciels se sont rapidement dispersés à travers deux chemins divergents: 

• Rehub, un forum à inscription libre où DragonForce s'est inscrit le jour même où RAMP a été mis hors ligne
• T1erOne, une plateforme plus exclusive, accessible uniquement sur invitation, ciblant des acteurs de plus grande valeur

Activité également s'est tourné vers TelegramDans un contexte où la sécurité opérationnelle est plus difficile à contrôler, l'effet immédiat a été à la fois psychologique et, dans une moindre mesure, opérationnel : une perte de confiance dans les infrastructures partagées et la prise de conscience que même les plateformes établies de longue date peuvent disparaître du jour au lendemain. De plus, la disparition de plateformes comme RAMP, qui constituaient une ressource précieuse pour les nouveaux venus, a créé un obstacle opérationnel majeur. Les acteurs malveillants et les groupes de Rançongiciels qui ne sont pas bien connectés et implantés dans l'écosystème du Rançongiciels ont désormais plus de difficultés à obtenir un accès initial et à trouver de nouveaux partenaires.

La chute du voleur de Lumma

Les stratégies de perturbation ne se limitent pas aux forums. La cybercriminalité russophone, les opérations de démantèlement de contenu et les voleurs d'informations convergent dans l'une des affaires les plus instructives de l'année : la chute tumultueuse de Lumma Stealer.

Lumma était un logiciel malveillant en tant que service (MaaS) développé en Russie, utilisé pour voler des identifiants, des cookies et des jetons de portefeuilles de cryptomonnaies. Entre le 16 mars et le 16 mai 2025, Microsoft a identifié 394 000 ordinateurs Windows infectés, tandis que le FBI estimait à 10 millions le nombre d'infections dans le monde, faisant de Lumma la menace de vol d'informations la plus importante à l'époque.

En mai 2025, l'unité de lutte contre la cybercriminalité (DCU) de Microsoft, le département de la Justice américain, le FBI, Europol et le Japon ont annoncé une opération mondiale coordonnée de démantèlement, saisissant environ 2 300 domaines malveillants et redirigeant plus de 1 300 domaines vers des serveurs de redirection contrôlés par Microsoft. Les données télémétriques de Flare n'ont montré qu'une légère baisse temporaire du trafic Lumma après l'opération. En quelques semaines, les opérateurs avaient… ils ont reconstruit leur infrastructure et repris leurs opérations, restant très actif tout au long de l'été.

Si l'intervention des forces de l'ordre n'était qu'un revers temporaire, qu'est-ce qui a réellement perturbé le fonctionnement de Lumma ?

Acteurs rivaux menaçants. À partir de fin août 2025, un site clandestin appelé « Lumma Rats » a publié un Divulgation complète des informations personnelles de cinq opérateurs présumés de Lumma., notamment les noms, les passeports, les comptes bancaires et d'autres informations opérationnelles. La cohérence et l'ampleur de la campagne laissaient supposer connaissances privilégiées ou accès à des comptes compromisLe 17 septembre, les comptes Telegram de Lumma Stealer ont également été supprimés. compromission présumée, coupant ainsi le principal canal de communication des opérateurs avec leurs clients. Contrairement à la brève baisse observée après le démantèlement en mai, cela a déclenché une chute brutale et soutenue à la fois pour la détection de nouveaux échantillons et pour l'activité de l'infrastructure de commande et de contrôle à partir de septembre 2025. Les clients ont commencé migration vers des plateformes concurrentes tels que Vidar et StealC.

Mise en garde importante : l’exactitude des informations divulguées et l’implication réelle des personnes nommées restent à vérifier. n'ont pas été vérifiés de manière indépendanteCette campagne pourrait être motivée par des rivalités, il pourrait s'agir d'une opération de désinformation, voire d'une escroquerie de sortie orchestrée par les opérateurs de Lumma eux-mêmes ; toute attribution doit être traitée avec prudence. 

Le modèle plus large

Ces cas ne sont ni isolés, ni spécifiques à l'écosystème russophone. BreachForums, le forum anglophone de référence sur la cybercriminalité, a été… saisi à plusieurs reprises Depuis 2024 : d’abord en mai 2024 sous l’administration de Baphomet, puis à nouveau après un cycle chaotique de relances et de perturbations jusqu’en 2025. arrestations de personnalités clés Parmi les personnes impliquées figuraient IntelBroker et plusieurs membres de ShinyHunters, ce qui a abouti au démantèlement, en octobre 2025, de sa dernière version, transformée en portail d'extorsion de données par le groupe Scattered Lapsus$ Hunters. Chaque nouvelle tentative a eu une durée de vie plus courte et a suscité une confiance moindre.

Ce que XSS, RAMP, Lumma et BreachForums ont en commun, c'est un schéma récurrent : les opérations de démantèlement ne sont pas vouées à l'échec simplement parce que l'activité criminelle persiste. Elles réussissent en imposant des coûts cumulatifs à l'écosystème, en fragmentant les communautés, en détruisant la réputation acquise et les systèmes de confiance, en forçant les acteurs à opérer dans des environnements inconnus où la sécurité est plus faible, et en semant une méfiance généralisée qui rend la collaboration criminelle plus risquée et moins efficace. On considère souvent le chaos comme un outil au service des cybercriminels, mais la perturbation que les forces de l'ordre injectent dans l'écosystème génère également un chaos qui leur est défavorable. La véritable mesure de l'efficacité d'une opération de démantèlement ne réside pas dans sa capacité à stopper la criminalité, mais dans sa capacité à dégrader à grande échelle l'infrastructure de confiance qui la rend possible.

Voleurs d'informations : moins d'infections, mais un impact plus important

Lumma a peut-être disparu, mais les voleurs d'informations, en tant que catégorie, restent une menace importante et croissante, qui évolue rapidement du vol d'identifiants de consommateurs vers la compromission d'identité d'entreprises à fort impact.

Les voleurs d'informations infectent les systèmes et exfiltrent systématiquement les identifiants, les jetons de session, les mots de passe enregistrés dans le navigateur, les données de remplissage automatique et les cookies de session actifs vers une infrastructure de commande et de contrôle (C2). Contrairement au phishing ou aux fuites de données à grande échelle, une seule infection par un voleur d'informations fournit aux attaquants un aperçu complet et actualisé de l'identité numérique d'une victime, leur permettant souvent d'obtenir des dizaines d'identifiants d'entreprise qui sont ensuite partagés ou vendus au sein de l'écosystème de la cybercriminalité, principalement sur Telegram.

L'ampleur du problème est stupéfiante. Selon nos Rapport 2026 sur l'exposition des entreprises aux vols d'informations, qui a analysé 18.7 millions de journaux de voleurs collectés tout au long de 2025, plus de 2.05 millions d'infections ont exposé les identifiants d'authentification unique (SSO) ou de fournisseur d'identité (IdP) d'entreprise. 

Cela signifie que plus d'une infection par voleur d'informations sur dix offre désormais potentiellement aux attaquants un accès aux messageries d'entreprise, aux infrastructures cloud, aux plateformes SaaS et aux systèmes internes. 

Les données préliminaires de fin 2025 montrent que ce chiffre pourrait atteindre 16 % des infections, bien au-dessus des projections précédentes, ce qui indique une accélération rapide.

Ce qui rend ces résultats encore plus alarmants, c'est qu'ils ont été observés malgré une baisse d'environ 20 % sur un an du nombre total d'infections par des voleurs d'informations. Moins de machines sont compromises, mais chaque compromission a des conséquences bien plus graves. Cette divergence révèle un changement structurel dans l'économie des attaques : les voleurs d'informations ciblent de plus en plus les systèmes qui détiennent déjà des accès stratégiques aux entreprises, et les attaquants le savent. Si les tendances actuelles se maintiennent, Une infection par voleur d'informations sur cinq pourrait exposer les identifiants d'entreprise dès le troisième trimestre 2026..

Pourquoi une identité centralisée aggrave la situation

L'impact croissant des voleurs d'informations est indissociable de la manière dont les organisations gèrent désormais l'identité. À mesure que les entreprises centralisent l'authentification autour de plateformes telles que Microsoft Entra ID, Okta et AWS IAM Identity Center, une seule identification compromise peut déverrouiller des dizaines de systèmes connectés. C'est précisément cette concentration d'accès que les voleurs d'informations exploitent.

Les chiffres le confirment. Selon notre rapport:

• Microsoft Entra ID est apparu dans 79 % des journaux d'identité d'entreprise, ce qui en fait de loin le fournisseur d'identité le plus fréquemment exposé, AWS arrivant en deuxième position avec 12 % des journaux d'identité d'entreprise. 
• Plus de 18 % des journaux d'identité d'entreprise contenaient des identifiants pour plusieurs fournisseurs d'identité, ce qui augmentait considérablement la portée d'une seule infection. 
• Plus de 1.17 million de journaux contenaient à la fois des identifiants d'entreprise et des cookies de session actifs, permettant aux attaquants de contourner entièrement l'authentification multifacteurs (MFA) et d'obtenir un accès immédiat sans déclencher de défis de connexion.

Autrement dit, les voleurs d'informations ne se contentent pas de voler des mots de passe. Ils s'emparent des clés d'accès à des environnements d'entreprise entiers.

Répartition des journaux de vol de données par mois en 2025, comparant l'identité de l'entreprise avec tous les journaux

La porte d'entrée vers des attaques de plus grande envergure

Il est essentiel de noter que les voleurs d'informations ne sont pas une fin en soi, mais un moyen d'atteindre d'autres objectifs. Ils facilitent les attaques de type Rançongiciels en fournissant aux attaquants les identifiants valides nécessaires à leur connexion. Selon… Rapport d'enquête sur la violation des données 2025 de VerizonLes identifiants volés sont impliqués dans 88 % des violations de données lors d'attaques d'applications Web basiques. Rapport mondial sur les menaces de CrowdStrike pour 2025 Cela situe le temps moyen d'exécution d'une cyberattaque à seulement 48 minutes, ce qui signifie qu'une fois qu'un attaquant dispose d'identifiants valides, la fenêtre de tir pour les défenseurs est extrêmement réduite.

Étude de cas : La fuite de données Snowflake de 2024

La fuite de données de Snowflake en 2024 illustre comment les voleurs d'informations permettent des attaques en cascade, de type chaîne d'approvisionnement. Les acteurs malveillants ont utilisé des identifiants volés dans les journaux de vol pour accéder directement aux environnements clients de Snowflake, sans cibler Snowflake elle-même. Une seule catégorie de données volées a permis de mener à bien des attaques contre de nombreuses entreprises clientes. Cette fuite a été attribuée à divers groupes de cybercriminels : UNC5537, Scattered Spider et ShinyHunters.

Comment les voleurs d'informations sont distribués et monétisés aujourd'hui

Une question fréquente est de savoir si les acteurs malveillants examinent encore manuellement les journaux de vol de données individuels ou s'ils privilégient les données agrégées en masse. La réponse est : les deux, selon l'attaquant et l'attaque. Les opérateurs ciblés continuent d'analyser les journaux individuellement pour accéder à des comptes spécifiques à forte valeur ajoutée. Parallèlement, une part croissante des données volées est collectée, agrégée et vendue en masse sur des plateformes et des forums clandestins.

Ce marché a lui aussi connu des bouleversements. Genesis Market, autrefois la plateforme de référence pour les données des voleurs d'informations, a disparu. Russian Market continue de fonctionner. Mais la tendance générale est à la migration des forums centralisés vers Telegram, où plus de 90 % des activités des voleurs d'informations sont consignées. Nous constatons désormais l'apparition d'un grand nombre de chaînes agrégatrices sur Telegram qui regroupent des listes de combinaisons nom d'utilisateur-identifiant-mot de passe (ULP) et des journaux de voleurs dans des fichiers ZIP, formant ainsi des collections massives généralement utilisées pour les attaques par pulvérisation de mots de passe, où les acteurs malveillants testent de grands volumes d'identifiants sur les services pour voir lesquels fonctionnent encore.

Avec 46 % des journaux de vol d'informations sur les appareils personnels contiennent désormais des identifiants d'entreprise.La frontière entre exposition personnelle et professionnelle a pratiquement disparu. Un simple ordinateur portable personnel compromis peut donner aux attaquants l'accès à l'ensemble du système d'information de l'entreprise.

Explorez ci-dessous un journal de voleurs interactif :

Telegram : conserve sa prééminence dans la cybercriminalité, malgré les pressions politiques russes

Telegram continue de jouer un rôle central dans toutes les grandes tendances de la cybercriminalité, la distribution de logiciels espions et l'adaptabilité des communautés criminelles face aux perturbations. Telegram fonctionne comme un vaste marché clandestin où se partagent les identifiants volés, les logiciels malveillants, les kits d'hameçonnage et les services frauduleux. échangé à grande échelleLes acteurs malveillants exploitent également l'API de Telegram comme infrastructure dorsale pour le contrôle et la commande de logiciels malveillants, en utilisant des bots pour automatiser l'exfiltration des données volées directement à partir de machines infectées.

L’arrestation de Pavel Durov en France en août 2024 a soulevé des questions quant à la stabilité de la plateforme et a incité Telegram à… annonce une coopération accrue avec les forces de l'ordreLa plateforme est désormais confrontée à une menace politique bien plus structurelle et directe émanant de Russie.

L'escalade de la crise politique en Russie

Le gouvernement russe a intensifié sa campagne contre Telegram, et un consensus se dégage parmi les analystes et les législateurs quant à la forte probabilité d'un blocage complet de la plateforme en 2026. probablement entre avril et septembreCette pression émane de Roskomnadzor (RKN), qui accuse Telegram de non-respect des lois russes, notamment en matière de localisation des données et de refus de se conformer aux demandes de retrait de contenu. Plus de 150 000 infractions recensées depuis 2022L’ordonnance judiciaire initiale d’avril 2018 visant à bloquer Telegram n’a jamais été formellement annulée et reste techniquement valide.

L'approche du gouvernement a consisté en une « pression progressive ». Le 10 février 2026, RKN a commencé à limiter activement l'accès à Telegram à l'échelle nationale via TSPUDes systèmes d'inspection approfondie des paquets (DPI) ont été installés sur le réseau de tous les principaux fournisseurs d'accès Internet russes. Ce système identifie le protocole MTProto de Telegram par sa signature et limite le trafic à environ 128 Ko/s, dégradant ainsi la diffusion de fichiers multimédias d'environ 55 %, tandis que la messagerie texte reste fonctionnelle. Ces mesures font suite à des restrictions antérieures : les appels vocaux et vidéo ont été bloqués en août 2025, et une limitation partielle du trafic a été mise en place en octobre 2025.

Des responsables clés de la Douma ont indiqué qu'un blocage total était l'objectif visé. Andrey Svintsov, vice-président de la commission de la politique de l'information prédit un blocage complet dans un délai de six à huit mois et l'éventualité de désigner Telegram comme organisation extrémiste a été évoquée. Le vice-président de la Chambre des communes, Mikhaïl Delyagin, a déclaré : décrit Un blocus complet est probable d'ici septembre 2026, en parallèle des élections régionales. Analyste : Denis Kuskov (Telecom Daily) A déclaré ils affirment ouvertement que la décision de fermer Telegram a déjà été prise.

Au-delà des restrictions techniques, Durov lui-même est désormais des campagnes marketing ciblées, par une enquête pénale menée en vertu de l'article 205.1 du Code pénal russe (facilitation d'activité terroriste, peine maximale de 15 ans), sur la base d'éléments du FSB. En réponse, Durov a déclaré Le 5 février, Telegram a déclaré n'avoir jamais divulgué « un seul octet » de données de messages et a affirmé qu'elle fermerait ses portes plutôt que de se conformer aux exigences de la plateforme. Ces actions s'inscrivent dans un contexte plus large de coopération réduite avec l'Occident et d'instrumentalisation de la cybercriminalité par l'État russe.

Le gouvernement exerce simultanément une pression MAX, une « super-application » soutenue par l'État et développée par VK, en tant que remplaçant désigné. MAX est légalement tenu de s'intégrer à SORM-3, offrant au FSB un accès dérobé complet aux communications et métadonnées des utilisateurs, une conception qui devrait dissuader tout acteur ayant des préoccupations de sécurité opérationnelle de base.

La réaction des acteurs malveillants russophones

Malgré cette menace croissante, les acteurs malveillants russophones ne semblent pas s'en préoccuper outre mesure pour le moment. On observe peu de discussions approfondies, au sein des milieux cybercriminels russophones, sur la nécessité de migrer ou sur les mesures que prendra la communauté en cas de blocage total. La principale raison est que les solutions techniques actuelles permettent encore à ceux qui ont besoin de Telegram de continuer à l'utiliser sans perturbation majeure.

La société civile et la communauté technique russes ont déployé des méthodes de contournement de plus en plus sophistiquées contre la limitation de débit. adoptant souvent des outils initialement développés par la société civile en Chine ou en Russie : 

• Proxys MTProto utiliser les paramètres de proxy intégrés de Telegram
• Proxies « furtifs » auto-hébergés qui se font passer pour des sites web HTTPS classiques afin de contourner l'inspection DPI
• Outils de contournement DPI locaux (Au revoir DPI, zapret) qui manipulent les paquets TCP pour tromper les équipements de limitation de débit
• Protocoles VPN obscurcis comme Xray/VLESS Reality qui dissimulent le trafic tunnelisé sous forme de visites sur des sites web populaires

Ces solutions de contournement sont bien documentées et activement maintenues au sein des communautés techniques russes, notamment sur Habr. Le statut juridique actuel protège les utilisateurs : Telegram est limité mais pas formellement interdit, et l’utilisation de VPN à des fins légales reste autorisée. Cependant, à compter du 1er mars 2026, le RKN (Russie Native Computer) disposera de pouvoirs de contrôle centralisés accrus sur l’internet russe, et la communauté technique anticipe un durcissement supplémentaire de ces pouvoirs.

Concernant MAX, il semble peu probable que des acteurs malveillants l'adoptent comme plateforme opérationnelle. Bien que nous ayons observé que certains d'entre eux achètent et vendent déjà des comptes MAX (ce qui indique une activité frauduleuse ciblant la Russie et sa base d'utilisateurs), aucun cybercriminel n'a été observé partageant des contacts MAX ou créant des chaînes commerciales sur cette plateforme. Actuellement, MAX autorise uniquement les utilisateurs vérifiés à créer des chaînes de diffusion, et le gouvernement russe… contrôle ouvert de bout en bout ce qui le rend fondamentalement inadapté aux opérations criminelles.

Les acteurs malveillants sont avant tout pragmatiques et orientés vers le commerce : ils continuent d’utiliser Telegram car aucune alternative viable n’a émergé et les outils de contournement disponibles leur permettent de poursuivre leurs opérations. Ceci est cohérent avec une analyse plus large de l'impact du Sovereign RuNetCela montre que, si le renforcement de la censure et des capacités de surveillance en Russie a exercé une pression psychologique sur les acteurs malveillants, il n'a pas significativement entravé leur capacité à commettre des cybercrimes. Les cybercriminels russophones n'ont pas encore entrepris de résoudre sérieusement le problème de la migration, signe évident que les solutions de contournement existantes suffisent pour l'instant.

Adaptation et domination continue

Malgré le renforcement de la modération après l'arrêt Durov, Telegram continue de prospérer en tant qu'écosystème illicite. Notre recherche confirme que Telegram reste la plateforme de messagerie dominante dans le milieu cybercriminel clandestin. Certaines communautés ont ont commencé à qualifier Telegram de « non sûr » Suite aux modifications apportées à la modération, Netcraft a constaté une baisse de son utilisation pour l'exfiltration d'identifiants via des sites d'hameçonnage. Néanmoins, l'utilisation criminelle de la plateforme persiste. Après des perturbations, qu'il s'agisse de fermetures de forums, de démantèlements de sites de vol d'informations ou de vagues de modération, les acteurs malveillants s'adaptent en créant des canaux privés, accessibles uniquement sur invitation et réservés aux membres de confiance.

L'activité de modération sur Telegram continue de croître (Source : Telegram)

Signal, l'alternative souvent citée, n'est pas utilisée de la même manière par les cybercriminels. Signal présente deux inconvénients majeurs pour les opérations illicites : ses groupes sont accessibles uniquement sur invitation, ce qui rend impossible la découverte de la communauté sans lien direct, et il lui manque l'API Bot, les chaînes et l'écosystème ouvert de Telegram, qui permettent l'automatisation et l'évolutivité dont les cybercriminels ont besoin. Nos recherches confirment que si Signal a connu un certain succès, légère hausse suite aux changements de politique de Telegram, il reste marginal dans l'écosystème cybercriminel, Discord et Session jouant des rôles secondaires plus importants mais toujours de niche.

Une surveillance étroite doit se poursuivre, avec une capacité d'adaptation rapide. En cas de blocage total, les acteurs techniquement avancés conserveront probablement l'accès via des tunnels obscurcis, tandis que les acteurs moins techniques pourraient se fragmenter sur plusieurs plateformes, rendant l'écosystème plus difficile à surveiller sans pour autant remettre en cause le rôle central de Telegram. Dans tous les cas de figure, la prééminence de Telegram dans la cybercriminalité ne devrait pas être sérieusement menacée à court terme.

Ce que les équipes de sécurité doivent garder à l'esprit pour 2026

Par le biais de l'évolution naturelle, des démantèlements et des cybercriminels qui se retournent les uns contre les autres, l'année 2025 a apporté des changements significatifs à l'écosystème de la cybercriminalité russophone, aux forums en ligne et au paysage des voleurs d'informations.

Dans l'écosystème de la cybercriminalité russophone, la coopération policière entre l'Occident et l'Ukraine s'est intensifiée, aboutissant à des succès significatifs tels que l'arrestation de « Toha » et la fin des treize années d'activité du groupe XSS. Le déclin de cette coopération et l'instrumentalisation de la cybercriminalité par la Russie contrebalancent ces progrès par de nouveaux risques.

L'enseignement le plus marquant de l'année écoulée est peut-être que les fermetures de contenu génèrent des conséquences bien plus importantes que la simple perturbation initiale. Les répercussions, les transactions compromises, les communautés fracturées, la divulgation d'informations personnelles par des concurrents, peuvent s'avérer plus dommageables que la fermeture elle-même. La perturbation est sans doute l'issue la plus réaliste, et elle est significative.

Telegram a survécu à l'arrestation de son cofondateur en 2024 et semble prospérer, absorbant le marché des données des voleurs d'informations qui se trouvait autrefois sur des plateformes centralisées.

Le dynamisme qui caractérise le dark web ne montre aucun signe de ralentissement.

Pour une analyse complète, des démonstrations et des ressources supplémentaires, consultez la formation complète sur Discord. Rejoignez le Discord Flare Academy pour accéder à la présentation complète.