Saisi par le FBI début 2025, le forum Cracked.io est déjà de retour. Nouveau nom de domaine, admin fraîchement désigné, millions de messages réactivés : la plateforme reprend ses activités comme si de rien n’était. Une réapparition éclair, embarrassante pour les autorités, mais surtout révélatrice d’un système devenu presque indestructible.
Le 29 janvier dernier, le FBI annonçait en grande pompe la saisie et le démantèlement de plusieurs plateformes liées à la cybercriminalité : Cracked.io, Nulled.to, StarkRDP.io et MySellIX.io. Baptisée « Talent », l’opération visait à désactiver un réseau d’échanges illicites à l’échelle mondiale, où se bradaient données volées, identifiants compromis, outils de phishing et autres services frauduleux. Mais il aura suffi de quelques semaines pour que Cracked refasse surface, cette fois avec une nouvelle extension de domaine.
Tomber, renaître, fermer encore et revenir plus fort : la routine
Même interface, ancien slogan, message d’accueil signé d’un certain « @Liars », désormais aux commandes : Cracked est de nouveau accessible. Selon les premières déclarations de l’équipe, une sauvegarde complète datée du 25 janvier – soit quatre jours avant la saisie – a été restaurée, permettant de relancer le site sans perdre ses contenus, et les abonnés premium concernés par la période de transition ont même été invités à contacter l’admin pour récupérer leurs avantages.
En interne, les responsables affirment que les serveurs étaient chiffrés et que les forces de l’ordre n’ont pu accéder ni aux messages, ni aux identifiants, ni à aucun contenu sensible. Il n’en fallait pas plus pour faire rappliquer les foules. En quelques jours à peine, Cracked revendiquait déjà 4,7 millions de membres, 1 million de threads et plus de 36 millions de messages.
Ce qu’il faut bien comprendre ici, c’est que Cracked n’est pas un cas isolé. En mars 2023, le FBI arrêtait Connor Fitzpatrick, alias Pompompurin, administrateur de BreachForums, autre plaque tournante tristement réputée du cybercrime. Quelques mois plus tard, le site avait finalement été repris par son second, Baphomet, avant d’être à nouveau démantelé… puis relancé, encore. Tour à tour revendiqué par plusieurs groupes rivaux, dont ShinyHunters, impliqué dans de nombreuses violations de données de grande ampleur (Ticketmaster, Microsoft, AT&T, GitHub, Vinted), Breach est toujours très actif. Personne ne sait vraiment qui tient les rênes, mais peu importe, tout roule.
Et c'est bien ça, le plus frappant. Ces forums tombent, reviennent, changent d’équipe, d’adresse… mais gardent la forme. Une formalité, presque, qui en dit long sur la capacité de ces plateformes à survivre aux coups durs. Aujourd’hui, les forums cybercriminels sont pensés pour encaisser les chocs. Ils savent qu’ils sont ciblés, et ils s’organisent en conséquence. Sauvegardes régulières et automatisées, répartition et anonymisation des équipes, hébergements redondants, noms de domaine de secours… les procédures de remise en service sont déjà prévues en cas de pépin.
Une économie parallèle structurée, pignon sur rue
Il serait tentant d’imaginer ces forums relégués au dark web. Mais depuis plusieurs années, c’est aussi sur le clear web qu’ils prospèrent. Cracked, Nulled ou BreachForums sont, ou ont été à un moment donné, référencés par les moteurs de recherche, sans nécessiter de passer par Tor. Une accessibilité qui peut fluctuer au gré des saisies de domaine ou des décisions des administrateurs, mais qui reste, dans l’ensemble, assumée.
Car ce n’est pas une négligence, mais bien un choix stratégique. Une manière de signaler que ces marketplaces n’ont plus besoin de se cacher pour exister, mais aussi de faciliter l’arrivée des nouveaux venus, de fluidifier les transactions… et de recruter toujours plus largement, au-delà des seuls cercles cybercriminels aguerris.
Ce serait également se fourrer le doigt dans l’œil que de croire que ces plateformes ne sont que de simples forums d’échange entre hackers plus ou moins chevronnés. En réalité, elles structurent une économie parallèle, avec ses propres codes, ses outils, ses intermédiaires.
09 avril 2025 à 16h44
Sur Cracked, comme sur d’autres plateformes du même genre, on trouve de tout : des identifiants piratés, des accès à des comptes bancaires, des scripts pour contourner des protections de sites, des guides pour escroquer des services clients. Tout est organisé en sous-forums payants, avec des abonnements, des notations d’acheteurs, des garanties sur les ventes. Certains membres agissent comme des revendeurs professionnels. D’autres viennent simplement chercher des accès bon marché ou tester des techniques de phishing.
Mais pour qu’un forum de cet acabit fonctionne, encore faut-il une infrastructure capable de tenir la route. Dans le cas de Cracked, les liens avec MySellIX et StarkRDP ont été épinglés lors de l’opération Talent : l’un servait au traitement des paiements, l’autre à l’hébergement. Ce n’est donc pas un hasard si tous ont été visés en même temps par l’opération Talent. L’objectif était bien de désarticuler l’écosystème dans son ensemble, pas seulement de couper l’accès à un site. Ça n'aura manifestement pas suffi.
Des opérations spectaculaires pour des résultats limités
Du côté des autorités, l’opération reste un coup de filet symbolique. Saisir un site et afficher un message du FBI en page d’accueil, c’est fort visuellement. Mais ça n’a de sens que si les infos récupérées peuvent servir à remonter les filières, identifier les profils à l’origine des ventes ou démanteler les réseaux de fraude.
Or ici, les administrateurs affirment que les serveurs étaient chiffrés. Et jusqu’à preuve du contraire, aucune donnée ne semble avoir été exploitée. Résultat : des noms de domaine saisis, mais des communautés intactes. Une action qui, faute de conséquences concrètes, peine à produire un véritable effet dissuasif.
Ce n’est pas un aveu d’impuissance, mais un rappel de contraintes. Le FBI ne peut pas opérer librement à l’étranger. Les actions coordonnées avec Europol ou d’autres agences sont complexes, longues, limitées. Et en face, les forums underground ont appris à fonctionner en mode clandestin, avec une organisation, on l’a vu, presque modulaire. Un domaine tombe, un autre prend le relais, et les fidèles suivent.
Et si ces forums continuent à se relever, c’est aussi parce qu’ils répondent à une demande constante. Celle des cybercriminels aguerris, qui récupèrent des identifiants pour mener des campagnes de phishing ciblées. Celle, aussi, de particuliers attirés par la promesse d’un abonnement premium à moindre coût. Et entre les deux, toute une zone grise d’internautes plus ou moins conscients de ce qu’ils achètent, ou de ce à quoi ils participent.
Source : Cybernews
