Le forum de cybercriminels BreachForums ferme après l’arrestation de son administrateur

[Mise à jour le 21 mars 2023 à 8h30] Baphomet a indiqué, il y a une heure, dans le canal Telegram de BreachForums, renoncer à relancer ledit forum : « je crois que l’on peut considérer que rien n’est désormais sûr. Je sais que tout le monde veut que le forum soit en ligne, mais il n’y a pas de valeur à des gains à court terme pour ce qui sera probablement une perte à long terme ». Comprendre : il apparaît raisonnable de considérer que le risque d’infiltration, par les forces de l’ordre, du forum Breach est désormais élevé. 

Pas question, pour autant, de tout arrêter et de baisser les bras : un nouvel espace communautaire sera lancé ultérieurement par Baphomet après la potentielle reprise des activités. 

[Article original le 20 mars 2023 à 18h20] C’est Bloomberg qui dévoile l’opération, ce 18 mars 2023 : le mercredi précédent, le 15 mars, Conor Brian Fitzpatrick a été interpellé, vers 16h30, à son domicile de Peekskill, dans l’état de New York. Il est accusé de « complot en vue de commettre des accès frauduleux à des appareils ». Mais certains, dans l’écosystème des cybercriminels, le savaient déjà, à l’instar de Kayte, qui lançait le jour même de l’interpellation, sur Twitter, « c’est un jour triste ».

Conor Brian Fitzpatrick est soupçonné de n’être autre que Pompompurin, un membre éminent du monde de la cybercriminalité. La personne se cachant derrière ce pseudonyme avait lancé BreachForums après la saisie, par le FBI, d’un forum très fréquenté par les cybercriminels, RaidForums, au printemps 2022.

C’est une imprudence qui pourrait être à l’origine de cette arrestation. Il faut remonter à début janvier et se tourner le moteur de recherche spécialisé Intelligence X. Ce dernier indexe les données volées et divulguées en tout genre. De quoi permettre, par exemple, de surveiller si des informations relatives à son entreprise ne sont pas dans la nature, à commencer par des identifiants de collaborateurs. 

Un tel service peut être utile aux entreprises. Mais les données indexées sont également une mine d’or pour les cybercriminels qui n’hésitent pas à essayer d’y ouvrir un compte, quitte à payer pour cela. Mais les opérateurs d’Intelligence X en sont bien conscients et s’avèrent extrêmement prudents. Et cela d’autant plus depuis juillet 2022, après avoir fait l’objet de menaces.

Début janvier, Pompompurin s’est vanté d’avoir réussi à tromper la vigilance d’Intelligence X. Les opérateurs de ce moteur de recherche n’ont pas manqué de relever les adresses IP, e-mail, et bitcoin, utilisées par l’acteur. 

BreachForums devrait toutefois se remettre de ce camouflet. Un second administrateur, Baphomet, a indiqué prendre possession du forum. Et de se dire serein : « OpSec [sécurité opérationnelle, N.D.L.R.] a été ma préoccupation principale depuis le début ».

À l’heure où sont publiées ces lignes, BreachForums est inaccessible. Mais Baphomet avait prévenu de cela, dès le 18 mars, expliquant engager la migration vers un autre hébergeur afin de s’assurer que les accès de Pompompurin ne fonctionnent plus. Récemment, il a assuré que la migration est en cours et se déroule correctement.