LALAKA - stock.adobe.com
BreachForums : un vrai-faux retour ?
Les opérateurs de ce forum ont indiqué avoir « pleinement compromis » le ministère de l’Intérieur. Mais est-ce bien sérieux et qui se cache effectivement derrière cette revendication ? Enquête.
Le forum bien connu des cybercriminels – ainsi que des forces de l’ordre et des chercheurs, notamment - BreachForums a été prétendument de retour une énième fois, temporairement. Mais de nombreuses zones d’ombres subsistent.
Dans un message publié samedi 13 décembre, l’un des administrateurs du forum pointait directement les autorités françaises, évoquant les arrestations de l’été dernier, dans l’Hexagone.
La semaine dernière, le ministère de l’Intérieur a reconnu une intrusion limitée, évoquant des « activités suspectes visant ses serveurs de messagerie », mais rien de plus. À nos confrères de ZDNet, la Place Beauvau a récemment précisé : « à date, les analyses montrent une intrusion sur des boîtes de messagerie professionnelle, contenant des éléments d’identification, dont la récupération a rendu possible l’accès à des applicatifs métiers ».
Les opérateurs du pseudo BreachForums nouveau ont prétendu avoir utilisé la messagerie électronique du ministère de l’Intérieur pour diffuser un mail annonçant la reprise de leurs activités. Mais cela s’est avéré n’être qu’une usurpation d’identité.
Depuis peu, ils assurent toutefois avoir pu, « pendant des semaines », parcourir « méticuleusement » le portail Cheops des forces de l’ordre et « discrètement extrait des données ». Cela pourrait correspondre aux dits « applicatifs métiers ». Mais, surprise : à ce stade, plusieurs jours après leur revendication initiale, ils n’ont toujours pas présenté le moindre échantillon pour appuyer leurs dires. Ce dont les cybercriminels n’ont pas l’habitude de se priver de faire.
En outre, dans leur dernier message à l’heure où nous publions ces lignes, les acteurs impliqués invitent à rejoindre leur prétendue chaîne Telegram. Las, créée début décembre 2021, elle est actuellement vide. De quoi douter qu’ils en aient réellement le contrôle.
Des tensions au sein de la nébuleuse
Le doute est d’autant plus justifié qu’en coulisses, deux groupes au moins semblent mener bataille : ceux qui se revendiquent des ShinyHunters d’un côté, et Scattered Lapsus$ Hunters (SLSH pour les intimes), de l’autre. Et ils sont loin de ne pas se connaître.
Du côté des premiers, on trouve notamment HasanBroker et Pryx, ainsi que d’autres, moins connus, à l’instar de Kizaru et de Kuroi. Du côté des seconds, on trouve Rey, un adolescent jordanien connu sous le nom de Saif Al-Din Khader.
Pryx et Rey ont notamment officié ensemble, un temps, sous la bannière de HellCat, une enseigne de rançongiciel, aux côtés notamment du bien connu IntelBroker. Ce dernier aurait été interpelé en France en février 2025. Et puis le groupe a été secoué par des tensions internes conduisant au départ de Rey et d’un autre membre, Miyako.
Les ShinyHunters ont été pris de court par les événements du weekend, HasanBroker l’assurant en privé : « breachforums.bf n’est pas à moi ». Publiquement, le collectif assurera peu après n’avoir aucun lien avec « cette fausse revendication » et accusant les SLSH d’en être à l’origine.
Il faut savoir qu’HasanBroker et Pryx, notamment, travaillent à relancer leur propre BreachForums depuis quelques semaines… Mais pas un mot ni une capture d’écran sur l’intrusion dans les systèmes du ministère de l’Intérieur ne figure dans la chaîne Telegram du collectif SLSH. De son côté, le titulaire actuel de l’ancien compte X (ex-Twitter) de Pryx n’a pas manqué de jouer la provocation : « tu n’es pas propriétaire de [BreachForums] soit dit en passant ».
Comme si cela ne suffisait pas, des tensions semblent exister entre ShinyHunters canal historique et les « nouveaux » ShinyHunters… Ainsi, pour Shiny, leader des historiques, HasanBroker, Pryx, Kizaru et Kuroi… « sont ceux qui essaient de reprendre à leur compte toute la scène ShinyHunters ».
Un écosystème francophone dynamique
Et si les acteurs impliqués étaient à chercher ailleurs ? Le 12 novembre, le collectif HawkSec a revendiqué une intrusion sur la plateforme collaborative Resana. Selon nos informations, ce groupe a réussi à publier un message sur Tchap, la messagerie instantanée sécurisée du gouvernement, basée sur Matrix. C’était autour du 27 novembre.
Dans ce message, les intrus déploraient que leurs pseudonymes n’étaient mentionnés nulle part. Ils avaient précédemment menacé de représailles les médias qui leur refuseraient leur attention.
Que ces incidents soient liés ou distincts, ils mettent toutefois en lumière une réalité méconnue du grand public : les collectifs de pirates francophones. Les quatre membres de HawkSec se disent ouvertement français.
Du côté des ShinyHunters, Pryx écrit en Français et se dit tunisien. Kizaru semble français et IntelLite utilise également la langue de Molière, tout comme Jinx. L’un des autres membres l'assuré dans des échanges que nous avons pu consulter : « on est tous français•e ici ».
Pour approfondir sur Cyberdélinquance
-
![]()
Ministère de l’Intérieur : l’intrusion revendiquée par les opérateurs de BreachForums
Par: Valéry Rieß-Marchive
-
![]()
Cyberextorsion : les ShinyHunter préparent leur ransomware
Par: Valéry Rieß-Marchive
-
![]()
Cyberextorsion : l’âge des grandes campagnes de masse
Par: Valéry Rieß-Marchive
-
![]()
Le ransomware ? Ça payait mieux avant
Par: Valéry Rieß-Marchive
