1 avril 2021
Tendances Cyber

Hackers : Les re-leaks du darkweb

Written by Arnaud Le Men
FacebookTwitterLinkedInMessenger

Le piratage de Mazafaka

Hackers : les re-leaks du darkweb ou comment Mazafaka, un des plus anciens et « élitistes » forums de la cybercriminalité se fait pirater et peu de temps après une liste de plusieurs utilisateurs se retrouve dans la nature.

Et quand on dit dans la nature, on veut dire librement accessible sur Internet.

Nous l’avons donc téléchargée facilement, sur un site du mal nommé « darkweb ».

Liste des utilisateurs du forum de cybercriminalité Mazafaka

Le fichier (.txt) contient 2990 lignes avec des usernames, adresses mails, passwords, pseudos (chat, ICQ, Yahoo messenger, MSN Message, etc.).

Dans le cadre de nos interventions sur des crises cyber impactant nos clients notamment dans le cas de ransomwares, nous constatons que les groupes de hackers les plus actifs utilisent finalement un nombre relativement restreint de services de mails connus pour leur confidentialité (protonmail, mail2tor, cock.li, yopmail, etc.) ou des applications de chat/IRC du type tox.chat ou telegram garantissant un bon niveau de confidentialité.

Pour comprendre si l’utilisation de ces services « discrets » est réellement généralisée, l’étude de la base de données issue de Mazafaka est forcément intéressante.

La base est assez volumineuse et provenant d’un forum réputé pour la qualité, la compétence et le sérieux de ses membres pour que l’on puisse la considérer comme représentative de la communauté des hackers.Par ailleurs, et étant donnée la nature des activités faites sur ce forum nous nous nous attendons à identifier une multitude de services promettant un niveau de confidentialité fort.

Et bien, non. Pas du tout.

Les principaux services utilisés sont ceux de M et Mme Everybody.

Gmail (US) en tête avec 20% des comptes présents dans la base. Suivi de Yahoo (US) avec 18% et Mail (US) avec un peu plus de 11% des comptes. Le premier service qui revendique un niveau de confidentialité un peu fort est Safe-mail.com (DE) et apparait en 5ème position avec 3,5%. Protonmail.com (CH), très médiatisé après les révélations Snowden en 2013 ressort seulement en 14ème position et représente 0,7% des comptes enregistrés. Le forum Mazafaka étant majoritairement russophone, quelques services mails développés en Russie émergent, mais dans des proportions faibles : Yandex.ru, mail.rambler.ru et bk.ru représentent 9% des comptes.

Liste des services utilisés par les hackers sur le darkweb en valeur absolue
Liste des services utilisés par les hackers sur le darkweb en valeur relative

Aussi surprenant qu’elle puisse paraitre, plusieurs hypothèses pourraient expliquer cette réalité :

– Les membres du forum ont une confiance absolue dans les services mails pour
le grand public développés aux US.

– Les boites mails ne sont que des relais pour renvoyer les messages vers
d’autres serveurs ultra-sécurisés hébergées sur des plateformes secrètes
perdues dans les eaux internationales.

– C’est un non sujet. Peu importe les traces laissées ou les services utilisés, la
probabilité qu’ils soient identifiés et arrêtés avoisine le 0 absolu. Le sentiment
d’impunité est totale.

Après avoir longuement débattu avec nos analystes, le consensus se fait plutôt…
sur la 3ème hypothèse.