Imaginez un Carrefour Market, mais pour hackers. Un endroit où, au lieu de promotions sur les chips et les yaourts, on trouve des identifiants Google, des sessions Facebook toutes prêtes, des accès VPN corporate, et même des cookies… mais pas ceux à manger.
Bienvenue sur le Russian Market, un petit coin cosy du cyberespace où les informations volées via des stealer malwares se vendent comme des petits pains. L’ambiance y est feutrée, l’interface presque agréable, et le business tourne à plein régime. Si vous aviez encore des illusions sur la confidentialité de vos données, préparez-vous à les voir fondre comme des jetons 2FA sur un serveur mal sécurisé.
🎬 En résumé : qu’est-ce que ce marché noir à la sauce russe ?
Le Russian Market n’est pas nouveau. Il existe depuis 2019, mais il a récemment gagné en notoriété grâce à la chute de Genesis Market (opération « Cookie Monster », 2023). Depuis, les cybercriminels en quête d’informations toutes fraîches s’y ruent pour acheter des identifiants volés par des infostealers comme :
- 🪓 RedLine Stealer : le classique des classiques, facile à configurer.
- 🐀 Raccoon Stealer : léger, discret, mais féroce.
- 🧪 LummaC2 ou Vidar : la fine fleur du malware en mode SaaS.
Ces petites bêtes s’infiltrent via des cracks de logiciels, des campagnes de phishing ou des extensions navigateur malicieuses. Et une fois dans votre machine, elles font les courses : mots de passe, cookies, historique, jetons d’accès, coordonnées bancaires, wallets crypto. Et hop, tout ça finit en vitrine sur Russian Market.
🛒 Le fonctionnement ? Simple comme un clic sur « Ajouter au panier »
La force de Russian Market, c’est sa simplicité redoutable. Pas besoin d’être un génie du code :
- On s’inscrit (parfois même via le clearnet, car le dark web c’est surfait).
- On dépose quelques cryptos.
- On choisit son butin : « un compte Gmail ? Une session Facebook active ? Un accès VPN ? »
- On télécharge le log correspondant (souvent moins de 5 $).
Chaque « log » est une archive contenant tout ce que l’infostealer a trouvé : logins, cookies, infos système, localisation, parfois même des captures d’écran.
Et le top ? Certains vendeurs classent les logs par pays, langue, OS, date d’infection, pour cibler plus facilement une victime. De quoi organiser des attaques personnalisées, bien propres, bien chirurgicales.
💣 Pourquoi c’est une bombe à retardement pour les entreprises
Disons les choses simplement : si vos utilisateurs utilisent un navigateur non sécurisé avec l’autocomplétion activée, ou un gestionnaire de mots de passe sans MFA, vous êtes déjà un potentiel client… involontaire.
Une fois les identifiants en vente :
- Un attaquant peut se connecter sans déclencher l’authentification multi-facteur, en utilisant des cookies de session.
- Il peut usurper un poste à haute responsabilité (CEO fraud, spear-phishing).
- Il peut accéder à vos applications internes ou à votre VPN, et rester sous le radar pendant des semaines.
Et là, même le meilleur SOC du monde pourra ne rien voir venir.
🧠 Concrètement, on fait quoi ?
🧯 D’abord, pas de panique. Mais un petit stress de fond, oui. Voici le kit de survie pour entreprise exposée (spoiler : toutes les entreprises) :
- Bloquez l’exécution des fichiers suspects : AppLocker, GPO, ou EDR.
- Empêchez l’autocomplétion des navigateurs internes : un petit script GPO fera l’affaire.
- Imposez un gestionnaire de mots de passe sécurisé avec MFA obligatoire.
- Surveillez les fuites d’identifiants avec HaveIBeenPwned, Dehashed, ou LeakLooker.
- Réalisez des campagnes de sensibilisation : montrer aux équipes que « cliquer, c’est risquer ».
🪪 Et en tant qu’utilisateur, je suis concerné ?
Oh que oui. Si vous avez :
- Installé un logiciel cracké,
- Cliqué sur un lien bizarre pour « visualiser une facture »,
- Utilisé le même mot de passe pour votre mail et Netflix…
… alors oui, vos données se baladent peut-être quelque part sur Russian Market, prêtes à être vendues pour moins cher qu’un kebab.
🧾 En conclusion : les credentials ne meurent jamais
Le Russian Market, c’est le symptôme d’une pathologie bien plus large : la banalisation du vol d’identifiants. Aujourd’hui, n’importe qui peut se transformer en pirate à petit budget.
Il est donc urgent que les entreprises et les particuliers comprennent le fonctionnement de ces marchés, et adoptent une posture de défense active, plutôt que de jouer à l’autruche. Car pendant que vous hésitez à activer le MFA, d’autres paient déjà 4 $ pour prendre votre place.
