Le FBI démantèle LeakBase et saisit les IP de 142 000 utilisateurs

LeakBase vient de se faire couper l’herbe sous le pied. Le FBI, avec Europol et un grand nombre de polices partenaires, a saisi les domaines du forum et collé une bannière de saisie qui ne laisse pas place au doute. Les deux adresses principales redirigent vers le message fédéral, avec des serveurs DNS passés sur ns1. fbi. seized. gov et ns2. fbi. seized. gov. Quand tu vois ça, c’est que la porte est fermée, et que les clés sont chez les enquêteurs.

Le plus lourd, c’est ce qui a été récupéré au passage. Les autorités disent avoir sécurisé et conservé l’intégralité du contenu du forum pour la preuve: comptes utilisateurs, posts, détails de crédits, messages privés, et surtout les IP logs. LeakBase, en activité depuis 2021, affichait plus de 142 000 membres et plus de 215 000 messages. Là, ce n’est plus un simple shutdown, c’est une collecte massive pour remonter des dossiers.

Les domaines LeakBase basculent sur ns1. fbi. seized. gov

Le signe le plus visible, c’est le basculement technique. Les domaines leakbase[.]ws et leakbase[.]la pointent maintenant vers une page de saisie. Et les serveurs de noms ont été remplacés par ceux utilisés par le FBI lors de ce genre d’opérations: ns1. fbi. seized. gov et ns2. fbi. seized. gov. Ce n’est pas un détail pour geeks. C’est la preuve que l’infrastructure publique, celle qui rend le site accessible, est passée sous contrôle des autorités.

Pour les habitués des forums underground, ce genre de bannière a un effet immédiat: ça gèle la confiance. Même ceux qui n’étaient « que » acheteurs de bases volées comprennent que le terrain a changé. Le message affiché prévient que tout a été sécurisé et conservé pour servir de preuve, et que toute tentative d’accès, d’altération ou d’interférence peut ajouter des infractions. Traduction: si tu reviens bricoler, tu te rajoutes une couche.

LeakBase n’était pas un petit coin de discussion. Les autorités le décrivent comme une des grosses plateformes cybercriminelles, avec un marché autour de bases de données volées, d’identifiants, d’infos bancaires et de données d’entreprises. Ce type de forum sert de supermarché pour les attaques du quotidien: stuffing de mots de passe, fraudes à la carte, prise de contrôle de comptes, et revente de données pour d’autres opérations plus lourdes.

Et c’est là que la saisie DNS prend tout son sens. Quand tu contrôles le domaine, tu contrôles le point d’entrée. Les enquêteurs peuvent figer l’accès, préserver les éléments, et éviter que des admins fassent disparaître des traces en urgence. Ça ne dit pas tout de la méthode, mais ça montre un truc: ce n’était pas une fermeture « à l’arrache ». C’était préparé, coordonné, et pensé pour capturer un maximum de matière exploitable.

142 000 membres, 215 000 messages: la taille du fichier

Les chiffres donnent le vertige parce qu’ils traduisent une réalité simple: LeakBase, c’était du volume. Plus de 142 000 membres dans la base, et plus de 215 000 messages échangés entre utilisateurs. Un forum de cette taille, ce n’est pas juste des pseudos qui se vantent. C’est une place de marché, avec des historiques de transactions, des négociations, des « preuves » de données, et des habitudes d’achat qui peuvent se recouper.

Ce que les autorités disent avoir saisi, ce n’est pas seulement des pages publiques. Elles parlent des comptes, des posts, des « credit details », des messages privés et des IP logs. Les messages privés, c’est souvent là que les gens se lâchent: échanges de contacts, partage de liens, discussions sur les prix, parfois même des erreurs bêtes comme une adresse mail réutilisée. Sur ce genre de dossier, une seule conversation peut suffire à relier deux identités.

Les IP logs, c’est la partie la plus sensible pour les membres. Une IP, ce n’est pas un nom et un prénom, mais c’est un point de départ solide. Avec des réquisitions chez des fournisseurs d’accès, des corrélations d’horaires, des historiques de connexions, tu peux remonter à une ligne, un lieu, parfois un appareil. Et si un membre a fait une seule connexion « sans protection », même une fois, ça peut devenir la pièce qui fait tomber le reste.

Un enquêteur qui s’est déjà exprimé sur des affaires similaires résume ça en une phrase: « On ne cherche pas 142 000 arrestations, on cherche des nuds. » Les « top users », les vendeurs réguliers, les gens qui fournissent des dumps, ou ceux qui achètent en masse. Là, les autorités parlent d’actions visant les 37 utilisateurs les plus actifs. Ça colle à la logique: tu coupes les têtes de réseau, et tu fais peur au reste.

Arrestations dans 14 pays, Europol au centre du jeu

Ce qui frappe dans Operation Leak, c’est l’ampleur géographique. Les actions ont été synchronisées dans 14 pays, avec une coordination hébergée par Europol à La Haye. Dans la liste des pays cités, on retrouve les États-Unis, mais aussi l’Australie, la Belgique, la Pologne, le Portugal, la Roumanie, l’Espagne et le Royaume-Uni. Ce genre de coordination, ça évite l’effet domino où tout le monde disparaît dès qu’un seul pays bouge.

Les autorités parlent de perquisitions, d’arrestations et d’entretiens. TechCrunch évoque plus de 13 arrestations, avec des recherches et des interviews visant 33 suspects. Europol, de son côté, mentionne environ 100 actions d’application de la loi dans le monde. Ça peut inclure des saisies de matériel, des convocations, des contrôles, des gel d’accès, ou des opérations ciblées. Le chiffre est large, mais il dit une chose: ce n’était pas juste une bannière posée sur un site.

Le FBI insiste sur le message: personne n’est « vraiment anonyme » en ligne. C’est la phrase classique, mais le truc c’est que, sur ce type de forum, l’anonymat est souvent un patchwork fragile. Un VPN ici, un pseudo là, un paiement mal géré, une connexion depuis un mauvais réseau, et tu laisses des miettes. Avec une base complète et des logs, les enquêteurs n’ont plus besoin de deviner, ils peuvent trier, recouper, prioriser.

Il y a aussi un aspect politique, qu’on le veuille ou non. Quand le ministère de la Justice américain et Europol communiquent ensemble, c’est une vitrine de coopération. Et c’est une façon de dire aux plateformes concurrentes: « On sait faire, on sait attendre, et on sait frapper en même temps. » Pour les cybercriminels, ça change le calcul du risque, surtout pour ceux qui opèrent depuis des pays où l’extradition ou l’entraide judiciaire est devenue plus active.

Ce que vendait LeakBase: identifiants, cartes, données bancaires

LeakBase s’était fait une spécialité: les bases de données volées. Dans le panier, tu trouvais des identifiants et mots de passe, des informations de cartes de crédit, des adresses IP, et des bases d’entreprises. Les autorités parlent aussi d’informations bancaires, dont des numéros de comptes et des données de routage. Ce n’est pas « juste » du doxxing. C’est du matériel prêt à l’emploi pour frauder, usurper, et infiltrer.

Concrètement, tu prends une liste d’emails et mots de passe, tu lances du credential stuffing sur des services grand public, et tu récupères des comptes. Derrière, tu peux vider des portefeuilles crypto, commander des biens, revendre des accès, ou utiliser les boîtes mail compromises pour attaquer une entreprise. Les forums de leaks servent souvent de première marche. Pas besoin d’être un crack en exploitation, tu achètes la matière première.

LeakBase gardait aussi, selon les autorités, une archive maintenue en continu de bases piratées, avec des centaines de millions d’identifiants. Là, attention à ne pas confondre: « 142 000 membres » ne veut pas dire « 142 000 victimes ». Le nombre de victimes potentielles derrière les dumps peut être bien plus grand, réparti sur des années et des incidents multiples. Le forum, lui, joue le rôle d’entrepôt et de marché secondaire.

La nuance, parce qu’il en faut une: démanteler un forum ne fait pas disparaître les données déjà diffusées. Une base volée, une fois dehors, elle circule sur d’autres canaux, elle se recopie, elle se revend. Le gain immédiat, c’est de casser un point de rencontre, de récupérer des preuves, et de remonter des vendeurs. Mais côté victimes, la seule vraie défense reste la routine: mots de passe uniques, MFA partout où c’est possible, surveillance des comptes, et réaction rapide quand un service annonce une fuite.

Les ex-membres face aux IP logs: le réveil brutal

Le passage le plus glaçant de la bannière de saisie, c’est la promesse assumée: tout est conservé pour servir de preuve, y compris les messages privés et les IP logs. Pour un membre, ça veut dire que le risque n’est pas théorique. Même si tu n’as rien « posté » publiquement, tes connexions, tes échanges, tes achats, et tes discussions peuvent être dans la base. Et une enquête, ce n’est pas un sprint. Ça peut durer des mois, parfois des années.

Les autorités préviennent aussi que tenter d’accéder, d’altérer ou d’interférer avec le site saisi peut mener à des infractions supplémentaires. Ce n’est pas juste une menace pour faire joli. Dans ce genre d’opération, ils veulent éviter que des gens testent les limites, tentent de récupérer des données, ou essaient de détruire des traces. Du coup, même la curiosité « je veux voir si ça marche encore » peut être une très mauvaise idée si elle s’accompagne d’actions techniques.

Pour les entreprises et les particuliers, l’impact est indirect mais réel. Quand un forum comme LeakBase tombe, les enquêteurs récupèrent des listes, des preuves de vente, des indicateurs sur ce qui circule. Ça peut déclencher des notifications, des enquêtes internes, ou des actions de remédiation. Un RSSI que j’appellerai Marc, parce que j’en ai connu dix comme lui, me disait un jour: « Le pire, c’est quand tu découvres ta base en vente avec un horodatage précis. Tu comprends que l’attaquant a eu le temps de trier. »

Et puis il y a l’effet marché. Quand une place de marché ferme, les vendeurs se déplacent. Certains vont sur des forums concurrents, d’autres passent sur des canaux plus fermés, d’autres se font plus prudents. La pression policière peut réduire la visibilité, mais elle peut aussi pousser à la fragmentation. Pour les enquêteurs, c’est parfois un avantage: des petits groupes font plus d’erreurs. Pour les défenseurs, ça veut dire qu’il faut surveiller plus large, pas seulement un nom de forum.