Les équipes de Synacktiv observent que les données volées ne sont plus un sous-produit des cyberattaques. Elles sont devenues un levier central de performance, et constituent des ressources opérationnelles au cœur d’une économie souterraine structurée.
La fuite de données est bel et bien un point d’entrée dans un cycle d’exploitation. Elle ne marque pas la fin d’un incident, mais le début d’un processus permettant de mener des cyberattaques plus rapides, moins coûteuses et significativement plus efficaces.
Dans les heures qui suivent une compromission, certaines données, notamment les cookies de session, peuvent être exploitées immédiatement pour accéder à des comptes en contournant des mécanismes de sécurité, comme l’authentification multifacteur. Leur valeur dépend fortement de leur « fraîcheur ».
Les identifiants sont ensuite stockés, triés, testés automatiquement, puis intégrés dans des bases issues de fuites multiples.
Les données techniques récupérées (documentation interne, configurations, schémas d’architecture ou code source) peuvent quant à elles, être conservées pendant des années. Elles seront exploitées ultérieurement pour identifier des vulnérabilités ou préparer des attaques ciblées, souvent menées par des acteurs avancés, et/ou étatiques.
Une chaîne de valeur cybercriminelle, structurée comme un marché
L’exploitation des données repose aujourd’hui sur un écosystème fragmenté. Il s’apparente à une véritable économie de marché, où les rôles y sont répartis entre acteurs spécialisés ; collecte (via infostealers ou intrusions), agrégation, enrichissement et exploitation.
Des services automatisés permettent de tester massivement les identifiants afin de ne conserver que les accès réellement exploitables. Ces identifiants sont généralement structurés sous forme de triplets « URL / login / mot de passe », appelées listes ULP, puis revendues à grande échelle pour la compromission de comptes, l’accès aux systèmes d’information, l’ingénierie sociale ou le déploiement de campagnes d’extorsion.
« Ce modèle est comparable à des chaînes de sous-traitance industrielles. Une cyberattaque réussie résulte le plus souvent d’une succession d’interventions coordonnées. », précise Maxence Fossat, expert en cybersécurité chez Synacktiv.
À titre d’ordre de grandeur, plusieurs analyses estiment que les bases d’identifiants issues de fuites et de collectes automatisées, représentent entre 1 et 2 milliards d’entrées en circulation en 2025. Ces volumes doivent être interprétés avec prudence, car une part significative de l’information peut être obsolète ou dupliquée, mais ils témoignent de l’ampleur du phénomène.
Les données volées comme levier de rendement des attaques
Dans cette économie, les données issues de fuites permettent de réduire le coût d’acquisition d’un accès, d’augmenter le taux de succès des attaques et d’en accélérer l’exécution.
L’accès initial repose de plus en plus sur l’utilisation de comptes légitimes compromis, plutôt que sur des techniques d’intrusion complexes. Ce mode opératoire, particulièrement discret, permet de s’introduire dans un système d’information sans générer d’alertes immédiates.
Ces données renforcent également la crédibilité des attaques ciblées. En s’appuyant sur des informations internes (organisation des équipes, noms de projets, habitudes de communication), les attaquants construisent des scénarios de phishing, de vishing ou d’ingénierie sociale nettement plus efficaces.
Par ailleurs, l’industrialisation de ces pratiques est renforcée par l’usage d’outils automatisés et de modèles d’IA générative. Cela permet de produire du code, tester des identifiants et exploiter des données à grande échelle, y compris avec un niveau technique limité.
Cette logique est amplifiée par des acteurs spécialisés, en particulier les Initial Access Brokers (IAB), qui identifient et revendent des accès compromis. Ils sont ensuite rachetés par d’autres groupe qui prennent le relais pour mener l’attaque, comme par exemple des opérateurs de ransomware.
Un risque durable, largement sous-estimé par les entreprises
Les investigations menées par Synacktiv montrent bien que certaines attaques s’appuient sur des données issues de fuites anciennes, parfois plusieurs années après leur divulgation.
Dans d’autres cas, les données exfiltrées permettent de maintenir un accès dans la durée (conservation d’identifiants, installation de portes dérobées) pour revenir dans un système après une première compromission.
De nombreuses attaques visant la propriété intellectuelle, ou les données techniques, ne font par ailleurs l’objet d’aucune médiatisation, alors même qu’elles peuvent avoir des impacts stratégiques majeurs.
Cas concrets observés sur le terrain
Les équipes de Synacktiv identifient régulièrement des scénarios dans lesquels des données issues de fuites jouent un rôle direct dans des attaques contre les entreprises, voici quelques exemples :
Accès initial via des comptes légitimes
Dans plusieurs investigations, l’accès initial repose sur l’utilisation d’identifiants valides, sans tentative de brut force. Ces identifiants proviennent de bases issues d’infostealers ou de fuites antérieures, parfois combinées à des pratiques de réutilisation de mots de passe.
Attaques d’ingénierie sociale fortement contextualisées
L’utilisation d’informations internes (nomenclature des comptes, noms de projets, échanges d’emails) permet de construire des attaques de phishing, vishing ou smishing particulièrement crédibles. Ces méthodes, utilisées dans des exercices de simulation, sont directement transposables à des attaques réelles.
Industrialisation de l’exploitation via automatisation et IA
Certains attaquants, malgré un niveau technique limité, s’appuient sur des outils automatisés et des modèles d’IA générative pour produire du code, tester des identifiants et exfiltrer des données à grande échelle.
Pour Renaud Feil, co-fondateur et Président de Synacktiv : « L’enjeu est aujourd’hui de dépasser la lecture ponctuelle des fuites de données. Celles-ci doivent être comprises comme des événements qui alimentent un écosystème économique souterrain et structuré. Les mécanismes observés dans les attaques visant les particuliers, vol de comptes, usurpation d’identité, phishing,… s’appliquent pleinement aux entreprises, avec des effets amplifiés. »
