Les fuites de données n’ont jamais été aussi nombreuses, et les mots de passe compromis circulent aujourd’hui à un rythme qui dépasse largement les estimations classiques de cyber-sécurité. Lorsque des bases entières sont exfiltrées, elles ne restent pas dans l’ombre très longtemps : elles passent d’un serveur compromis à un forum, d’un forum à un canal privé, puis d’un canal privé à un bot Telegram ou un marchand automatisé.
Mais à quelle vitesse réelle ces identifiants se propagent-ils dans l’écosystème souterrain ? Les analyses récentes des dumps exfiltrés montrent que la circulation de mots de passe compromis suit des phases précises, parfois étonnamment rapides, parfois beaucoup plus lentes selon la valeur du dump, sa fraîcheur et la manière dont il a été volé.
La diffusion initiale : un rythme souvent fulgurant dans les 24 premières heures
Lorsque des identifiants sont exfiltrés, la première vague de circulation démarre généralement dans un délai très court. Dans les cas où les attaquants visent des plateformes grand public ou des services connus, la diffusion commence parfois moins de deux heures après l’exfiltration initiale.
Cette rapidité est due à plusieurs facteurs :
• des scripts automatisés qui extraient les identifiants en masse,
• des opérateurs qui postent immédiatement les premiers extraits sur des canaux privés pour prouver la validité du vol,
• des acheteurs spécialisés dans la revente directe qui cherchent à être les premiers à exploiter les comptes encore actifs.
Les analyses de corrélation réalisées par plusieurs équipes de réponse incidentielle montrent que 30 à 50 % des mots de passe exfiltrés apparaissent sur une première plateforme de revente dans les 24 heures, même lorsque la compromission est encore ignorée par la cible.
Les échanges privés : une étape où la circulation s’accélère encore plus vite qu’en surface
Après la première diffusion, les identifiants passent généralement dans des circuits beaucoup plus fermés. Les dumps les plus récents ne sont pas immédiatement publiés sur les forums publics ou les marketplaces visibles. Ils circulent d’abord dans des groupes fermés où seuls des membres de confiance accèdent aux données.
Dans cette étape, la propagation atteint un rythme encore plus rapide :
• des copies circulent entre acteurs spécialisés en attaque par credential-stuffing,
• certains groupes se focalisent sur la prise de contrôle de comptes hautement monétisables (streaming, cloud, administrateur SaaS),
• des bots alimentent automatiquement des bases internes dédiées aux attaques par dictionnaire.
Les analyses effectuées sur plusieurs fuites majeures montrent que jusqu’à 80 % du dump peut être redistribué en moins de 48 heures dans ces circuits privés, parfois sans qu’aucun élément n’ait encore émergé publiquement.
Les forums publics : un rythme plus lent, mais une diffusion massive dès la mise en ligne des premiers extraits
Lorsque les identifiants atteignent les forums publics, cela signifie en général que le dump a commencé à perdre sa valeur commerciale. Pourtant, cette publication déclenche une seconde accélération, cette fois à grande échelle.
Les chercheurs remarquent que dès qu’un dump est mentionné sur un forum public :
• les copies se multiplient sur plusieurs plateformes en une seule journée,
• des versions tronquées apparaissent rapidement,
• des bots indexent automatiquement les identifiants pour les insérer dans des bases de credential-stuffing autonomes.
Dans certaines fuites, plus de 300 instances d’un même dump public ont été retrouvées en moins d’une semaine, chacune redistribuée par des opérateurs différents.
L’automatisation des reventes : des milliers de mots de passe redistribués en quelques minutes
Un phénomène récent amplifie énormément la vitesse de circulation : les boutiques automatisées alimentées par API. Ces plateformes vendent des identifiants compte par compte, mais elles achètent également des dumps complets dès leur disponibilité dans les canaux fermés.
Dès qu’un dump pénètre ce type de service, la diffusion devient exponentielle :
• les mots de passe sont segmentés automatiquement,
• des milliers de comptes sont revendus en flux continu,
• des bots publient instantanément des extraits sur Telegram pour attirer des acheteurs.
Le rythme mesuré varie, mais certaines boutiques traitent jusqu’à 15 000 identifiants par heure, créant une propagation quasi instantanée.
La reconstitution des mots de passe via cracking accélère le rythme de circulation bien au-delà du dump initial
Tous les dumps ne contiennent pas des mots de passe en clair. Mais même dans les fichiers où seules des empreintes (hash) apparaissent, les mots de passe finissent par circuler sous forme exploitable.
Grâce aux outils de cracking spécialisés :
• les mots de passe simples sont retrouvés en quelques secondes,
• les mots plus complexes tombent en quelques heures avec des rigs GPU,
• les dictionnaires internes aux groupes criminels optimisent encore davantage la casse.
Les statistiques montrent que 40 à 60 % des mots de passe hashés sont craqués dans les 72 heures, puis immédiatement redistribués dans les mêmes circuits que les dumps habituels.
Cela crée une deuxième vague de diffusion, parfois plus dangereuse que la première, car les mots de passe déchiffrés peuvent être directement exploités sans nécessité d’interactions supplémentaires.
Les réutilisations massives : un rythme accéléré par la faible hygiène numérique des utilisateurs
La circulation des mots de passe exfiltrés est encore amplifiée par un facteur majeur : la réutilisation massive des mêmes identifiants sur plusieurs services.
Lorsqu’un dump apparaît, des milliers d’attaques par credential-stuffing sont immédiatement lancées :
• plateformes de streaming,
• messageries personnelles,
• comptes e-commerce,
• services cloud personnels.
La réutilisation permet d’exploiter rapidement les identifiants, ce qui pousse les attaquants à partager encore plus vite les mots de passe vérifiés.
Dans certaines fuites, plus de 18 % des identifiants volés ont permis une connexion sur au moins un autre service dans les 48 heures suivant la diffusion initiale, ce qui accélère encore le rythme de circulation.
Les réseaux sociaux et Telegram : une diffusion virale qui contourne les circuits classiques
Depuis quelques années, la circulation des identifiants compromis s’est déplacée vers des plateformes beaucoup plus accessibles. Telegram joue un rôle central dans cette nouvelle dynamique.
Des milliers de canaux et bots dédiés publient :
• des extraits de dumps récents,
• des annonces de vente,
• des bases automatisées accessibles via commande,
• des fichiers partagés anonymement.
Sur ces canaux, des mots de passe exfiltrés peuvent apparaître en moins d’une heure après le vol, ce qui réduit considérablement la période durant laquelle la victime reste exposée sans le savoir.
A LIRE AUSSI Dans quelle proportion une supervision SCADA détecte-t-elle les anomalies de charge sur lignes critiques ?
Les dumps finalisés : la vitesse de circulation culmine lorsque le fichier est totalement consolidé
Après plusieurs jours ou semaines, un dump commence à être publié dans sa version finalisée, souvent débarrassée de données corrompues et reformatée. Cette version circule ensuite dans :
• des bases géantes redistribuées gratuitement,
• des archives mises à jour plusieurs fois par an,
• des collections anonymes circulant en pair-à-pair.
À ce stade, la circulation atteint un rythme global très élevé : le dump devient pratiquement impossible à intercepter ou à arrêter, et les identifiants exposés peuvent continuer à circuler pendant plusieurs années.
Certaines bases finalisées contenant plus de 500 millions d’identifiants ont été retrouvées sur plus de 1 200 sources différentes en moins de 12 mois.