Passer au contenu

La police démantèle RaidForums, le supermarché des données volées

Utilisé par plus de 500 000 hackers, ce site était l’un des principaux espaces d’échange de bases de données volées. Il était piloté par un jeune homme de 21 ans, arrêté au Royaume-Uni.

Clap de fin pour « RaidForums », considéré comme l’un des plus grands forums de hackers. Les forces de police de six pays — Royaume-Uni, États-Unis, Allemagne, Portugal, Roumanie et Suède — ont en effet réussi à démanteler ce site sur lequel on pouvait non seulement glaner des conseils en piratage, mais aussi acheter des données volées. Et pas qu’un peu.

Selon le département de justice des États-Unis, il suffisait de se rendre dans le sous-forum Leaks Market pour accéder à « des centaines de bases de données contenant plus de 10 milliards d’enregistrements uniques ». Le site, qui comptait plus de 500 000 utilisateurs, proposait même un service d’intermédiation baptisé Official Middleman pour garantir les transactions. De manière plus anecdotique, RaidForums était également utilisé pour pratiquer le swatting, c’est-à-dire piéger des internautes en leur envoyant des forces spéciales.

Créée en 2015, cette affaire bien huilée a été pilotée par un Portugais de 21 ans, Diogo Santos Coelho alias Omnipotent, qui en était l’administrateur en chef. Il a été arrêté le 31 janvier au Royaume-Uni, tout comme deux de ses acolytes. À cette occasion, les forces de police ont saisi 5 000 livres anglaises et des milliers de dollars en numéraire, ainsi que des cryptomonnaies d’une valeur de plus d’un demi-million de dollars.

Coordonnée à l’international par Europol, cette opération de police avait pour nom de code Tourniquet. Elle est le fruit d’une longue enquête dont le point de départ se situe en juin 2018.
Selon KrebsOnSecurity, Diogo Santos Coelho débarquait alors à l’aéroport d’Atlanta et s’est fait fouiller. Sur ses équipements informatiques, les agents auraient trouvé des fichiers et des messages montrant qu’il était l’administrateur Omnipotent, de RaidForums.

A découvrir aussi en vidéo :

 

Selon les analystes de FlashPoint, l’opération de démantèlement aurait démarré le 25 février, date à laquelle l’un des administrateurs de RaidForums alerte les utilisateurs sur Telegram.
En réalité, ces derniers sont déjà sur le qui-vive depuis le 7 février, quand le site a mystérieusement planté pendant cinq jours. Il est probable que les forces de l’ordre disposaient d’un accès au site depuis ce moment. En tous les cas, un enquêteur de police a confirmé auprès de KrebsOnSecurity que RaidForums a été secrètement opéré par les forces de l’ordre « pendant des semaines », sans doute pour récolter des informations sur les utilisateurs. Ce qui promet quelques rebondissements ultérieurs.

Sources : Europol, DoJ, NCA, KrebsOnSecurity, Flashpoint

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN