Quand une rançon est refusée, l’attaque ne s’arrête pas. Identifiée par Flare, la plateforme Leak Bazaar propose de prolonger l’attaque au-delà de son échec immédiat, en transformant les données exfiltrées en source de revenus durable. L’analyse parle “d’une évolution du modèle d’extorsion”.
Exploiter ce que les attaques laissent derrière elles
Une grande partie des données exfiltrées reste inutilisée, faute de traitement. Trop volumineuses, trop désorganisées, trop hétérogènes, elles contiennent de la valeur… mais une valeur difficile à extraire.
C’est précisément sur cette zone grise que Leak Bazaar se positionne, d’après Tammy Harper, chercheuse en intelligence sur les menaces chez Flare. La plateforme se présente comme “une couche de service post-exfiltration” (citation traduite de l’anglais). L’enjeu n’est pas d’exposer davantage, mais de rendre exploitable ce qui ne l’était pas.
L’infrastructure décrite repose sur des grappes de serveurs conçues pour analyser des volumes massifs de données d’entreprise, avec des capacités de filtrage, d’extraction et de structuration. L’automatisation intervient pour nettoyer et trier, mais elle s’appuie aussi sur une validation humaine, chargée de garantir la qualité des informations mises en circulation.
Des données organisées pour trouver preneur
Ce travail de transformation ne se limite pas à un nettoyage technique. Il s’accompagne d’une structuration pensée pour le marché. Les données sont regroupées en catégories à forte valeur (résultats financiers, opérations de fusion-acquisition, R&D, données personnelles) directement associées à des usages.
Il ne s’agit plus de stocker des fichiers, mais d’organiser une offre. “Ce ne sont pas des regroupements de fichiers arbitraires, mais des catégories orientées acheteurs” analyse Tammy Harper. La plateforme ne vend plus des volumes de données, mais des informations packagées.
Rentabiliser l’échec, organiser la répétition
Leak Bazaar ne se contente pas de faciliter la vente, elle organise une logique de rendement.
Le partage de revenus, 70 % pour le fournisseur, 30 % pour la plateforme, s’accompagne de deux modes de commercialisation. D’un côté, une vente exclusive, où les données disparaissent après transaction. De l’autre, un modèle multi-acquéreurs, qui permet de céder les mêmes informations à plusieurs acheteurs, avec un prix ajusté et une monétisation étalée dans le temps.
Si la négociation échoue, la valeur ne disparaît pas. Elle est fragmentée, reconditionnée, puis remise en circulation selon la demande. “Le modèle considère les données volées moins comme une arme à usage unique que comme un actif capable de générer des revenus dans le temps” (citation traduite de l’anglais), résume la chercheuse.
