Cet article a été mis à jour le 22 décembre 2025.
Les courtiers d'accès initial (IAB) sont une catégorie particulière d'acteurs de la menace qui se concentrent sur l'obtention d'une première prise d'appui sur les réseaux d'entreprise qu'ils mettent aux enchères sur des forums de cybercriminalité tels que RAMP. Exploiteret XSS. Les courtiers d'accès initial sont un élément clé de la chaîne d'approvisionnement de la cybercriminalité – fournissant aux affiliés et aux groupes de Rançongiciels un ingrédient essentiel pour mener des attaques sophistiquées contre les organisations.
Un message de l'IAB sur le forum russophone consacré à la cybercriminalité Exploit
Quel rôle jouent les courtiers d'accès initial dans l'écosystème de la cybercriminalité ?
Les courtiers d'accès initial (IAB) jouent un rôle d'intermédiaires spécialisés dans la chaîne d'approvisionnement de la cybercriminalité. Leur objectif principal est d'obtenir un accès non autorisé aux réseaux d'entreprise, puis de revendre cet accès à d'autres acteurs malveillants. Plutôt que de mener eux-mêmes des attaques de grande envergure, les IAB investissent leur temps et leurs ressources dans la compromission des organisations. Ils utilisent des méthodes telles que l'exploitation de VPN vulnérables, l'utilisation d'identifiants volés dans les journaux de voleurs ou la mise en œuvre de campagnes d'hameçonnage ciblées contre les employés disposant d'un accès privilégié. Une fois l'accès établi, ils le conditionnent et le mettent en vente sur des forums et des places de marché du dark web. Ils précisent généralement des détails comme le secteur d'activité de la victime, son chiffre d'affaires annuel, le nombre de terminaux compromis et le type d'accès obtenu (RDP, VPN, Citrix ou identifiants d'administrateur de domaine).
Publication IAB
Cette spécialisation a considérablement abaissé les barrières à l'entrée pour les opérateurs de Rançongiciels et autres cybercriminels qui n'ont ni les compétences techniques ni la patience nécessaires pour pénétrer eux-mêmes les réseaux. Un affilié de Rançongiciels peut simplement acheter un accès vérifié à une entreprise du Fortune 500 pour un montant allant de 500 $ à 50 000 $, selon la taille de la cible et la qualité de l'accès, puis commencer immédiatement à se déplacer latéralement et à exfiltrer des données. Cette division du travail a accéléré le rythme des attaques de Rançongiciels et a rendu l'écosystème global plus efficace et plus dangereux. Les plateformes d'accès automatisé (IAB) transforment de fait la compromission de réseau en une marchandise, permettant aux attaquants d'étendre leurs opérations sans accroître leurs capacités d'intrusion.
Les relations entre les fournisseurs d'accès Internet (IAB) et les groupes de Rançongiciels se sont de plus en plus formalisées. Certaines opérations de Rançongiciels en tant que service (RaaS) entretiennent des relations privilégiées avec des courtiers spécifiques, voire internalisent les services d'IAB. La surveillance des annonces d'IAB sur des forums comme Exploit, XSS et RAMP est devenue essentielle pour les équipes de veille sur les menaces, car repérer les accès proposés à la vente par votre organisation représente souvent la dernière chance d'intervenir avant le déploiement d'un Rançongiciels ou une fuite de données majeure.
Structure d'un article IAB
Courtiers d'accès initial et groupes de Rançongiciels
Ce que la conversation LockBit-IAB nous apprend sur les opérations de Rançongiciels
La conversation divulguée entre LockBit et un courtier d'accès initial opérant sous le nom d'utilisateur « aa » sur le forum XSS offre une fenêtre rare L'analyse des dynamiques opérationnelles entre les opérateurs de Rançongiciels et les courtiers d'accès révèle une division du travail et une spécialisation marquées au sein de l'écosystème des Rançongicielss. Le courtier d'accès « aa » déclare explicitement ne rien maîtriser en matière de contournement des antivirus ni de suppression de sauvegardes, et se contente de « déléguer ces tâches » après avoir obtenu les privilèges d'administrateur de domaine. Sa valeur réside entièrement dans la compromission initiale et l'élévation de privilèges, et non dans l'exécution technique de l'attaque par Rançongiciels elle-même. Cette spécialisation permet aux courtiers d'accès de se concentrer sur leur cœur de métier, tandis que les affiliés aux Rançongicielss prennent en charge les tâches complexes liées au contournement des solutions EDR, à l'exfiltration de données et au déploiement des outils de chiffrement.
La conversation révèle également le système de hiérarchisation sophistiqué utilisé par les principaux opérateurs de Rançongiciels-as-a-service pour gérer leurs réseaux d'affiliés. LockBit fait régulièrement référence aux « meilleurs affiliés » par opposition aux moins expérimentés, expliquant qu'il distribue les accès en fonction de la complexité des attaques. Les réseaux protégés par des solutions EDR avancées sont confiés aux affiliés « ayant fait leurs preuves au fil des ans » et qui « ont été rémunérés à hauteur de millions de dollars », tandis que les cibles plus simples, dépourvues de contrôles de sécurité robustes, sont attribuées à des opérateurs moins compétents. Cette adéquation entre la difficulté de la cible et les capacités de l'affilié maximise le taux de réussite global de l'opération. LockBit démontre également le rôle de l'opérateur RaaS en tant que coordinateur central, gérant de multiples attaques simultanées menées par différents affiliés tout en menant personnellement les négociations de rançon qui peuvent durer des semaines.
Repérez les annonces IAB avant que les attaquants ne frappent.
Flare surveille XSS, Exploitation, RAMPet sur d'autres forums où Initial Access Brokers vend des accès réseau d'entreprise. Soyez alerté lorsque votre organisation ou des fournisseurs tiers apparaissent dans les annonces.
L'exemple le plus révélateur est sans doute le différend financier qui a finalement conduit à l'exclusion de LockBit des activités XSS. L'IAB exigeait un pourcentage fixe et équitable (environ 25 %) pour la fourniture d'un accès de haute qualité avec des identifiants d'administrateur de domaine déjà obtenus. LockBit a proposé une structure à paliers, commençant à seulement 10 % et augmentant de 1 % par rançon réussie, jusqu'à un maximum de 20 %, arguant que cela inciterait l'IAB à fournir un volume plus important. L'IAB a rétorqué que LockBit « faisait déjà la moitié du travail » en fournissant un accès d'administrateur de domaine immédiatement exploitable. Ce désaccord met en lumière les tensions inhérentes aux partenariats criminels en l'absence de contrats exécutoires et démontre l'utilité des systèmes d'arbitrage pour résoudre les litiges. Lorsque LockBit a refusé de verser la compensation jugée équitable par l'IAB pour Access1, la procédure d'arbitrage qui s'en est suivie a nui à sa réputation et a montré que même les opérations de Rançongiciels les plus prolifiques dépendent du maintien de la confiance au sein de la communauté cybercriminelle.
Comment les IAB accèdent-ils aux réseaux ?
Les groupes d'attaques informatiques (IAB) cherchent à accéder illégalement aux réseaux en exploitant les failles de sécurité des organisations. L'hameçonnage reste l'une des techniques les plus efficaces : les IAB conçoivent des campagnes d'hameçonnage ciblées, dites « spear phishing », destinées aux employés disposant de privilèges élevés, tels que les administrateurs informatiques, le personnel financier ou les cadres dirigeants. Ces courriels usurpent souvent l'identité de fournisseurs de confiance, de collègues internes ou de prestataires de services afin d'inciter les destinataires à cliquer sur des liens malveillants ou à saisir leurs identifiants sur des pages de connexion falsifiées. Les IAB les plus sophistiqués effectuent des repérages sur LinkedIn et les sites web d'entreprise pour personnaliser leurs appâts et optimiser leurs chances de succès.
Les attaques par usurpation d'identité représentent un autre vecteur majeur d'accès initial. Les attaques par force brute tentent systématiquement de tester des mots de passe courants sur des services exposés à l'extérieur, tels que les VPN, le protocole RDP (Remote Desktop Protocol), les passerelles Citrix et les portails de messagerie web. Le « password spraying » adopte une approche plus mesurée, testant un petit nombre de mots de passe fréquemment utilisés sur de nombreux comptes afin d'éviter de déclencher les seuils de verrouillage. Les groupes d'utilisateurs malveillants combinent souvent ces techniques avec le « credential stuffing », utilisant des combinaisons nom d'utilisateur/mot de passe divulguées lors de précédentes fuites de données pour exploiter la réutilisation des mots de passe sur les comptes personnels et professionnels. L'explosion des journaux de voleurs d'identité sur Telegram et marchés du dark web Cette approche est devenue de plus en plus efficace, car les IAB peuvent acheter de nouvelles informations d'identification incluant des cookies SSO d'entreprise capables de contourner entièrement l'authentification multifacteurs.
Un IAB sur XSS annonce qu'il cherche à acheter un journal de voleurs en masse
Comment se défendre contre les courtiers d'accès ?
- Surveillez les forums IAB : Les plateformes de cybercriminalité (IAB) cherchent naturellement à protéger leurs victimes de la mise en vente de leurs données. C'est pourquoi leurs messages sur les forums sont anonymisés. Il reste néanmoins judicieux de surveiller ces forums ; la combinaison de données géographiques, de chiffre d'affaires, de secteur d'activité et de type d'accès peut suffire à alerter certaines organisations d'une possible compromission. Flare recommande de surveiller les forums dédiés aux exploits, aux failles XSS et autres plateformes de cybercriminalité afin d'être averti à l'avance si l'accès à votre environnement est mis en vente.
- Surveiller de fichiers cleptogiciels: De nombreux acteurs malveillants diffusent des journaux de vol de données sur des forums et des chaînes Telegram. Ces journaux constituent probablement une source de vecteurs d'attaque pour les groupes de cybercriminels (IAB), qui peuvent analyser d'énormes quantités de journaux afin d'identifier ceux contenant des informations sur les accès RDP, VPN et autres formes d'accès aux réseaux d'entreprise, accès qui peuvent ensuite être établis, étendus et revendus.
Pour en savoir plus sur les journaux de vol de données et la fuite massive et continue de données, consultez le rapport. Identités bafouées et voleurs d'informations : l'une des plus importantes fuites de données en cours de l'histoire.
Courtiers d'accès initial et Flare
Flare est le leader Gestion de l'exposition aux menaces (TEM) Solution pour les organisations. Notre technologie analyse en permanence le web, y compris le web classique et le dark web, afin de détecter les événements inconnus, de hiérarchiser automatiquement les risques et de fournir des informations exploitables immédiatement pour renforcer votre sécurité. Protégez votre propriété intellectuelle contre les attaques IAB en utilisant la plateforme automatisée de Flare pour détecter les données volées ainsi que les mentions de vos actifs ou de votre organisation.
Notre solution s'intègre à votre programme de sécurité en 30 minutes pour fournir à votre équipe des renseignements exploitables et des mesures correctives automatisées en cas d'exposition à haut risque. Voyez-le vous-même avec notre essai gratuit.
