Introduction

Lorsqu’on parle de cyberattaques, beaucoup imaginent un scénario de film : un pirate qui cible une entreprise précise avec un exploit sophistiqué.
La réalité est souvent beaucoup plus simple (et inquiétante) : une grande partie des attaques commencent sur des places de marché du dark web, comme Russian Market.

Russian Market, c’est quoi ?

Russian Market est une plateforme du dark web où s’échangent des données volées. On y trouve principalement :

• des logs issus d’infostealers (malwares comme Lumma, RedLine, Raccoon),

• des cartes bancaires compromises,

• des identifiants, cookies et empreintes de navigateurs.

Chaque dossier (“log”) est vendu pour environ 10 dollars, ce qui le rend accessible à n’importe quel cybercriminel, même peu expérimenté.

Comment ça fonctionne ?

Le principe est aussi simple qu’un site d’e-commerce. L’attaquant peut filtrer :

• par pays, région ou ville,

• par type de stealer,

• par fournisseur d’accès Internet,

• mais surtout par URL (exemple : vpn.entreprise.com, mail.boulot.fr, sso.boite.com).

Autrement dit, si un attaquant cherche spécifiquement un accès à une entreprise, il peut vérifier si des identifiants volés sont déjà disponibles dans Russian Market.

Exemple concret

Imaginons qu’un attaquant analyse la surface d’attaque d’une grande entreprise française.
Il repère un domaine vpn.entreprise.com.
Il tape cette URL dans Russian Market et découvre un log mis en vente la veille.

Peu importe que l’entreprise impose une rotation des mots de passe tous les 30 jours :

• de nouveaux identifiants volés arrivent chaque jour sur la plateforme,

• un achat le jour même garantit un mot de passe encore valide,

• sans MFA (Multi-Factor Authentication), c’est un accès direct.
  Et même avec MFA, les informations volées permettent des attaques de social engineering très convaincantes.

Pourquoi c’est dangereux ?

Parce qu’il ne faut pas croire que les entreprises sont toujours visées de manière directe et ciblée.
En réalité :

• les attaquants ne cherchent pas “vous”,

• ils cherchent l’argent,

• et Russian Market leur fournit les clés déjà prêtes.

C’est une cybercriminalité de masse, où les données compromises sont revendues en libre-service.

Comment se protéger ?

Aucune entreprise ne peut empêcher Russian Market d’exister. Mais il est possible de réduire fortement les risques :

• Activer le MFA partout : même si un mot de passe fuite, un deuxième facteur bloque l’accès.

• Mettre en place une surveillance des fuites : savoir rapidement si des identifiants liés à l’entreprise apparaissent sur ces marchés.

• Sensibiliser les collaborateurs : expliquer les risques des infostealers, du phishing et des mauvaises pratiques de stockage de mots de passe.

• Segmenter les accès : limiter l’impact d’un compte compromis.

Conclusion

Russian Market illustre une réalité simple : une partie importante des cyberattaques commencent par l’achat de logs volés plutôt que par une attaque sophistiquée.
Les entreprises doivent cesser de sous-estimer cette menace “indirecte” et adopter une posture proactive :

• surveiller le dark web,

• renforcer les accès,

• et tester régulièrement leurs défenses.

La cybersécurité ne consiste pas seulement à bloquer des attaquants très avancés, mais aussi à contrer les menaces ordinaires, automatisées et bon marché.