Cracked.io, Nulled.to… le FBI saisit plusieurs sites de pirates informatiques [Màj]

Mise à jour, jeudi 30 janvier, 15h10 : Europol a confirmé jeudi vers 15 heures l'organisation de l'opération Talent, et livré quelques données chiffrées relatives aux deux principales cibles de ce coup de filet, les forums Cracked.io et Nulled.to.

« Ces sites fonctionnaient comme des guichets uniques, utilisés non seulement pour des discussions sur la cybercriminalité, mais aussi comme des places de marché pour des biens illégaux et de la cybercriminalité en tant que service, telle que des données volées, des logiciels malveillants ou des outils de piratage », affirme l'agence européenne. L'agence indique par ailleurs que les deux forums totalisaient 10 millions de membres, et que l'économie associée aurait permis aux administrateurs de générer un chiffre d'affaires de l'ordre d'un million d'euros.

Europol confirme également la saisie de Sellix.io et StarkRDP, au motif que ces deux services étaient promus sur les forums cités précédemment, mais aussi administrés par les mêmes personnes.

Toujours d'après Europol, l'opération s'est déroulée entre les 28 et 30 janvier. Elle a conduit à l'arrestation de deux suspects (dont la nationalité n'a pas encore été précisée), à sept perquisitions, ainsi qu'à la saisie de 17 serveurs et environ 300 000 euros de cash et de cryptomonnaies.

En France, l'opération a notamment bénéficié du concours de l'Office Anti-cybercriminalité.

Publication initiale, jeudi 30 janvier, 9h04 :

« Ce site, ainsi que les informations relatives aux clients et aux victimes de ce site, ont été saisis par une coalition internationale de forces de l'ordre », affiche désormais une bannière inscrite en page d'accueil de plusieurs adresses réputées dans la communauté des pirates informatiques telles que Cracked.io, Nulled.to, Starkrdp.io, Mysellix.io, et Sellix.io.

Quelques heures avant cette bannière, les signes avant-coureurs d'une opération de grande ampleur avaient été détectés sur les réseaux sociaux : la zone DNS des noms de domaine concernés avait été en effet modifiée pour pointer vers deux adresses à l'intitulé explicite : ns1.fbi.seized.gov et ns2.fbi.seized.gov, ce qui se vérifie aisément jeudi matin. D'après nos constatations, une partie des ressources normalement situées derrière ces noms de domaine étaient encore accessibles jeudi matin.

Mercredi, les administrateurs de Cracked.io ont commencé par signaler un incident technique par l'intermédiaire de leur compte Telegram, évoquant la possibilité d'une reprise de service sous 24 heures. Quelques heures plus tard, leur compte a confirmé la saisie. « Maintenant que tout le monde y voit plus clair sur la situation, Cracked.io a été saisi dans le cadre de l'opération talent sans que les raisons spécifiques ne soient communiquées. Nous attendons toujours les documents juridiques officiels du data center et du gestionnaire de domaine. Nous vous tiendrons informés de ces détails quand nous les aurons, écrit le compte, avant de commenter : triste journée en effet pour notre communauté. »

Cracked.io et Nulled.to se présentent comme deux forums abritant des communautés qui mêlent aussi bien de véritables pirates informatiques que des script kiddies en recherche de sensation. Il y circule de façon plus ou moins discrète des logiciels, outils et techniques d'attaque informatique. Sellix et Mysellix proposent quant à eux la création simplifiée de boutiques en ligne dédiées à des produits illégaux, qu'il s'agisse de drogue ou de données personnelles issues de piratage.

La bannière affichée par le FBI évoque une large coalition internationale : il y figure huit drapeaux, dont celui de la France, et le logo de nombreuses forces de l'ordre, dont Europol. À ce stade, les autorités concernées n'ont pas encore communiqué.