Imaginez un Carrefour Market, mais pour hackers. Un endroit oĂč, au lieu de promotions sur les chips et les yaourts, on trouve des identifiants Google, des sessions Facebook toutes prĂȘtes, des accĂšs VPN corporate, et mĂȘme des cookies⊠mais pas ceux Ă manger.
Bienvenue sur le Russian Market, un petit coin cosy du cyberespace oĂč les informations volĂ©es via des stealer malwares se vendent comme des petits pains. Lâambiance y est feutrĂ©e, lâinterface presque agrĂ©able, et le business tourne Ă plein rĂ©gime. Si vous aviez encore des illusions sur la confidentialitĂ© de vos donnĂ©es, prĂ©parez-vous Ă les voir fondre comme des jetons 2FA sur un serveur mal sĂ©curisĂ©.
đŹ En rĂ©sumĂ© : quâest-ce que ce marchĂ© noir Ă la sauce russe ?
Le Russian Market nâest pas nouveau. Il existe depuis 2019, mais il a rĂ©cemment gagnĂ© en notoriĂ©tĂ© grĂące Ă la chute de Genesis Market (opĂ©ration « Cookie Monster », 2023). Depuis, les cybercriminels en quĂȘte dâinformations toutes fraĂźches sây ruent pour acheter des identifiants volĂ©s par des infostealers comme :
- đȘ RedLine Stealer : le classique des classiques, facile Ă configurer.
- đ Raccoon Stealer : lĂ©ger, discret, mais fĂ©roce.
- đ§Ș LummaC2 ou Vidar : la fine fleur du malware en mode SaaS.
Ces petites bĂȘtes sâinfiltrent via des cracks de logiciels, des campagnes de phishing ou des extensions navigateur malicieuses. Et une fois dans votre machine, elles font les courses : mots de passe, cookies, historique, jetons dâaccĂšs, coordonnĂ©es bancaires, wallets crypto. Et hop, tout ça finit en vitrine sur Russian Market.
đ Le fonctionnement ? Simple comme un clic sur « Ajouter au panier »
La force de Russian Market, câest sa simplicitĂ© redoutable. Pas besoin dâĂȘtre un gĂ©nie du code :
- On sâinscrit (parfois mĂȘme via le clearnet, car le dark web câest surfait).
- On dépose quelques cryptos.
- On choisit son butin : « un compte Gmail ? Une session Facebook active ? Un accÚs VPN ? »
- On télécharge le log correspondant (souvent moins de 5 $).
Chaque « log » est une archive contenant tout ce que lâinfostealer a trouvĂ© : logins, cookies, infos systĂšme, localisation, parfois mĂȘme des captures dâĂ©cran.
Et le top ? Certains vendeurs classent les logs par pays, langue, OS, date dâinfection, pour cibler plus facilement une victime. De quoi organiser des attaques personnalisĂ©es, bien propres, bien chirurgicales.
đŁ Pourquoi câest une bombe Ă retardement pour les entreprises
Disons les choses simplement : si vos utilisateurs utilisent un navigateur non sĂ©curisĂ© avec lâautocomplĂ©tion activĂ©e, ou un gestionnaire de mots de passe sans MFA, vous ĂȘtes dĂ©jĂ un potentiel client⊠involontaire.
Une fois les identifiants en vente :
- Un attaquant peut se connecter sans dĂ©clencher lâauthentification multi-facteur, en utilisant des cookies de session.
- Il peut usurper un poste à haute responsabilité (CEO fraud, spear-phishing).
- Il peut accéder à vos applications internes ou à votre VPN, et rester sous le radar pendant des semaines.
Et lĂ , mĂȘme le meilleur SOC du monde pourra ne rien voir venir.
đ§ ConcrĂštement, on fait quoi ?
𧯠Dâabord, pas de panique. Mais un petit stress de fond, oui. Voici le kit de survie pour entreprise exposĂ©e (spoiler : toutes les entreprises) :
- Bloquez lâexĂ©cution des fichiers suspects : AppLocker, GPO, ou EDR.
- EmpĂȘchez lâautocomplĂ©tion des navigateurs internes : un petit script GPO fera lâaffaire.
- Imposez un gestionnaire de mots de passe sécurisé avec MFA obligatoire.
- Surveillez les fuites dâidentifiants avec HaveIBeenPwned, Dehashed, ou LeakLooker.
- RĂ©alisez des campagnes de sensibilisation : montrer aux Ă©quipes que « cliquer, câest risquer ».
đȘȘ Et en tant quâutilisateur, je suis concernĂ© ?
Oh que oui. Si vous avez :
- Installé un logiciel cracké,
- Cliqué sur un lien bizarre pour « visualiser une facture »,
- UtilisĂ© le mĂȘme mot de passe pour votre mail et Netflix…
⊠alors oui, vos donnĂ©es se baladent peut-ĂȘtre quelque part sur Russian Market, prĂȘtes Ă ĂȘtre vendues pour moins cher quâun kebab.
đ§Ÿ En conclusion : les credentials ne meurent jamais
Le Russian Market, câest le symptĂŽme dâune pathologie bien plus large : la banalisation du vol dâidentifiants. Aujourdâhui, nâimporte qui peut se transformer en pirate Ă petit budget.
Il est donc urgent que les entreprises et les particuliers comprennent le fonctionnement de ces marchĂ©s, et adoptent une posture de dĂ©fense active, plutĂŽt que de jouer Ă lâautruche. Car pendant que vous hĂ©sitez Ă activer le MFA, d’autres paient dĂ©jĂ 4 $ pour prendre votre place.
