Le 22 juillet 2025, la police ukrainienne a interpellé à Kyiv l’administrateur présumé de XSS.is, le forum russophone le plus influent de la cybercriminalité mondiale. Près d’un an plus tard, l’onde de choc traverse encore l’écosystème criminel. L’opération, pilotée par la police française et le parquet de Paris avec le soutien d’Europol, a mis hors ligne une plateforme vieille de vingt ans, qui comptait plus de 50 000 membres et générait un profit estimé à 7 millions d’euros pour son gestionnaire. Cet article analyse la portée réelle du démantèlement, ses conséquences sur le marché noir et ce qu’il révèle de la stratégie européenne face à la cybercriminalité organisée.
XSS.is démantelé : ce que l’on sait de l’opération
Le 23 juillet 2025, les visiteurs de XSS.is ont découvert une bannière de saisie à la place du forum. La page affichait les logos des autorités françaises, dont la Brigade de lutte contre la cybercriminalité, et annonçait la prise de contrôle du domaine. La veille, un homme soupçonné d’administrer la plateforme avait été arrêté à Kyiv. L’enquête, ouverte par le parquet de Paris, courait depuis plusieurs années et a mobilisé une coopération judiciaire franco-ukrainienne étroite, coordonnée par Europol.
Europol a décrit XSS.is comme « l’une des plateformes cybercriminelles russophones les plus influentes au monde ». L’agence européenne a précisé que l’administrateur ne se contentait pas d’héberger des annonces : il arbitrait les litiges entre criminels et garantissait la sécurité des transactions, jouant le rôle de tiers de confiance dans un milieu où la confiance n’existe pas. Ce positionnement explique la valeur du forum et la difficulté de le remplacer.
Les enquêteurs ont aussi obtenu l’accès à thesecure.biz, un serveur Jabber chiffré utilisé depuis début 2021 par les participants au forum pour communiquer hors plateforme. Cette saisie constitue le véritable coup dur : au-delà du site, ce sont les conversations privées de centaines d’acteurs malveillants qui ont potentiellement basculé entre les mains des autorités. C’est cette incertitude, plus que la fermeture du domaine, qui a paralysé l’écosystème pendant des mois.
Vingt ans d’histoire : de DaMaGeLaB à XSS.is
XSS.is n’était pas un forum ordinaire. Sous le nom de DaMaGeLaB, il a vu le jour en novembre 2004, ce qui en faisait l’un des plus anciens espaces criminels encore actifs sur le web au moment de sa chute. Le forum a ensuite adopté le nom XSS, référence directe à la faille de sécurité applicative bien connue (le cross-site scripting). Les sources divergent sur la date exacte du changement de nom, située entre 2013 et 2018 selon les analystes, mais toutes s’accordent sur la longévité exceptionnelle de la plateforme.
Cette ancienneté avait une conséquence stratégique. Pendant deux décennies, les forums russophones avaient été beaucoup moins ciblés par les forces de l’ordre occidentales que leurs équivalents anglophones comme RaidForums ou BreachForums. XSS.is bénéficiait d’une réputation de stabilité et d’un effet de réseau considérable : on y recrutait des affiliés, on y vendait des accès initiaux à des entreprises compromises, on y négociait des kits de rançongiciel. Sa disparition brutale a donc envoyé un message clair à tout le milieu : aucune plateforme russophone n’est désormais intouchable.
Selon Intel 471, le forum hébergeait au moment de sa saisie près de 50 000 membres enregistrés, plus de 110 000 fils de discussion et environ 850 000 messages. KELA a affiné ce décompte à 50 853 comptes. Ces chiffres placent XSS.is parmi les plus grandes places de marché criminelles jamais démantelées, et donnent la mesure du vide laissé dans l’organisation du cybercrime russophone.
XSS.is en chiffres : l’ampleur du forum saisi
| Indicateur | Donnée | Source |
|---|---|---|
| Année de création (DaMaGeLaB) | Novembre 2004 | Wikipedia / Searchlight |
| Membres enregistrés | 50 853 | KELA |
| Fils de discussion | 110 000+ | Intel 471 |
| Messages publiés | 850 000+ | Intel 471 |
| Profit présumé de l’administrateur | 7 M€ (env. 8,2 M$) | Europol / Intel 471 |
| Date d’arrestation (Kyiv) | 22 juillet 2025 | Europol |
| Mise hors ligne du domaine | 23 juillet 2025 | ZeroFox |
| Serveur Jabber saisi | thesecure.biz (actif depuis 2021) | Intel 471 |
Le profit de 7 millions d’euros attribué à l’administrateur provient, selon Europol, des revenus publicitaires et des commissions prélevées sur les transactions facilitées par le forum. Intel 471 a traduit ce montant à environ 8,2 millions de dollars. Ce chiffre, modeste comparé aux pertes infligées aux victimes des attaques organisées via la plateforme, illustre un modèle économique discret mais durable : XSS.is monétisait l’infrastructure du crime, pas le crime lui-même.
Le profil « Toha » : qui était l’administrateur arrêté
Plusieurs rapports de 2025 identifient l’administrateur présumé sous l’alias « Toha ». Un compte d’enquête évoque un homme prénommé Aleksandr résidant à Kyiv, mais cette identité réelle reste moins solidement établie que le pseudonyme public. La prudence s’impose : dans ce milieu, un seul opérateur peut gérer plusieurs identités, et les forces de l’ordre ne révèlent que rarement l’intégralité de leurs éléments avant le procès.
Ce qui rend le cas marquant, c’est la fonction occupée. L’administrateur n’était pas un simple hébergeur technique. Il garantissait les dépôts (le système d’« escrow » qui sécurise les paiements entre deux criminels) et tranchait les conflits commerciaux. En arrêtant cette personne, les autorités n’ont pas seulement fermé un site : elles ont retiré l’arbitre central d’un marché entier. KELA a rapporté que près de 6 millions de dollars de dépôts utilisateurs sont restés contestés après la saisie, les membres estimant la dette totale à 50 à 55 bitcoins, soit environ 6,17 millions de dollars.
John Hammond, chercheur principal en sécurité chez Huntress, a souligné l’ampleur technique de l’opération en notant que les versions clearnet et dark web du forum avaient toutes deux été neutralisées. Cette double frappe, rare dans les actions contre les forums, a privé les utilisateurs de tout point de repli immédiat et accentué le climat de paranoïa.
Une crise de confiance qui paralyse le marché noir
L’effet le plus durable du démantèlement n’est pas la fermeture du site, mais la défiance qu’il a installée. Dès la saisie du serveur Jabber, une question a obsédé les membres : les autorités ont-elles transformé l’infrastructure en piège ? KELA a documenté une véritable crise de confiance, avec la crainte d’un « honeypot » policier et le remboursement seulement partiel des dépôts. Quand un criminel ne sait plus si la plateforme qu’il utilise est surveillée, il cesse de l’utiliser.
Cette défiance a un coût opérationnel concret. Les courtiers en accès initiaux, qui revendent les portes d’entrée vers les réseaux d’entreprise, ont vu leur principal canal de distribution disparaître. Les opérateurs de rançongiciels, qui recrutaient des affiliés et annonçaient leurs offres sur XSS.is, ont dû se replier vers des espaces plus petits et moins liquides. Pour comprendre comment ces acteurs s’organisent à l’échelle du continent, notre analyse du ransomware en Europe détaille la chaîne de valeur de l’extorsion.
La fragmentation qui en résulte complique paradoxalement le travail défensif à court terme. Un marché centralisé est plus facile à surveiller qu’une dizaine de petits forums dispersés. Mais à moyen terme, la perte de confiance ralentit l’ensemble du système : les transactions sont plus lentes, les escroqueries entre criminels se multiplient, et la barrière à l’entrée pour les nouveaux venus remonte.
DamageLib : le successeur qui peine à convaincre
Comme après chaque grande saisie, des modérateurs ont tenté de reconstruire. Un successeur baptisé DamageLib (clin d’œil au nom historique DaMaGeLaB) a vu le jour dans les semaines suivant la chute. Au 27 août 2025, KELA y dénombrait 33 487 utilisateurs, soit environ 66 % de la base de XSS.is. Sur le papier, la migration semblait rapide.
Les chiffres d’activité racontent une autre histoire. Lors de son premier mois, DamageLib ne comptait que 248 fils de discussion et 3 107 messages, à comparer aux plus de 14 400 messages publiés sur XSS.is durant le seul mois précédant sa saisie. Autrement dit, les comptes ont migré, mais pas la vie du forum. Sans la réputation accumulée sur vingt ans, sans l’arbitre de confiance, le successeur reste une coquille à moitié vide.
Pendant ce temps, le forum concurrent Exploit a capté une partie du flux : KELA a observé une hausse de trafic de près de 24 % alors que les acteurs cherchaient des alternatives. Cette redistribution illustre une dynamique classique du milieu : l’eau trouve toujours un chemin, mais le démantèlement impose une friction réelle, mesurable en semaines de désorganisation et en pertes de confiance qui ne se rachètent pas.
Comparatif : XSS.is face aux grandes saisies de forums
Le démantèlement de XSS.is s’inscrit dans une série d’opérations qui ont remodelé le paysage criminel depuis 2022. Chaque saisie a ses spécificités, mais une tendance se dégage : les forces de l’ordre frappent de plus en plus l’infrastructure et la confiance, pas seulement les serveurs.
| Plateforme | Langue | Année de saisie | Particularité |
|---|---|---|---|
| XSS.is | Russe | 2025 | 50 853 membres, arbitre central du milieu russophone |
| BreachForums | Anglais | Avril 2025 (perturbation) | Place majeure de revente de données volées |
| RaidForums | Anglais | 2022 | Précurseur anglophone de la fuite de données |
| Genesis Market | Multilingue | 2023 | Marché d’identités et d’empreintes de navigateur |
| Hydra | Russe | 2022 | Plus grand marché darknet, axé drogue et blanchiment |
La différence majeure de XSS.is tient à sa langue et à sa résilience supposée. Intel 471 rappelle que les forums russophones avaient historiquement été bien moins touchés que les anglophones, en partie à cause des frontières juridiques. L’arrestation à Kyiv, rendue possible par la coopération ukrainienne, brise cette protection géographique. Pour les défenseurs, c’est un signal fort : la traque suit désormais les opérateurs là où ils se cachent, y compris dans des zones longtemps considérées comme des refuges.
2025, l’année des grandes frappes contre la cybercriminalité
XSS.is n’a pas été un cas isolé. ZeroFox situe l’opération dans une vague de saisies inédite. En avril 2025, BreachForums a connu une nouvelle perturbation. En juin 2025, les autorités ont arrêté des figures associées aux pseudonymes IntelBroker et ShinyHunters, ce dernier étant lié à des campagnes d’extorsion massives détaillées dans notre dossier sur ShinyHunters. En juillet, une autre action a visé des extorqueurs ciblant la grande distribution britannique.
Cette concentration d’opérations sur quelques mois n’est pas un hasard. Elle reflète une maturation des dispositifs européens, où le partage de renseignement entre Europol, les CERT nationaux et les unités spécialisées s’est intensifié. Les attaques contre la grande distribution, comme celle subie par Marks & Spencer et analysée dans notre article sur Scattered Spider, ont accéléré la pression politique pour des réponses coordonnées.
Le contexte français renforce cette dynamique. Selon la synthèse publiée par Squair Law, la CNIL a reçu 6 167 notifications de violation de données en 2025, en hausse de 9,5 %. L’ANSSI, de son côté, a recensé 1 366 incidents de sécurité en France sur la même année. Ces volumes nourrissent une volonté politique de frapper à la source, c’est-à-dire les plateformes qui industrialisent l’attaque.
Pourquoi la France et Europol ont visé un forum russophone
Le choix de cibler XSS.is depuis Paris peut surprendre. La réponse tient à la nature transfrontalière du crime : nombre de victimes françaises et européennes ont subi des attaques dont les outils, les accès ou les affiliés provenaient directement du forum. Le parquet de Paris dispose d’une compétence spécialisée en cybercriminalité, et la France a fait de la lutte contre les rançongiciels une priorité stratégique affichée par l’ANSSI.
La coopération avec l’Ukraine a été déterminante. Malgré le contexte de guerre, les autorités ukrainiennes ont mené l’arrestation sur leur sol à la demande de Paris. Ce point mérite d’être souligné : il démontre que les canaux de coopération judiciaire restent opérationnels là où les analystes auraient pu craindre une paralysie. Gerôme Billois, associé cybersécurité chez Wavestone, observe régulièrement que l’efficacité des opérations tient désormais autant à la diplomatie judiciaire qu’à la technique d’investigation.
Europol a joué le rôle de chambre de compensation du renseignement, coordonnant les éléments entre services nationaux. Cette mécanique, peu visible, est devenue la colonne vertébrale des grandes saisies européennes. Elle explique pourquoi des opérations aussi complexes peuvent désormais aboutir en quelques années, contre une décennie auparavant.
Impact sur le marché : prix des accès et rançongiciels
La disparition d’un forum aussi central modifie l’économie du cybercrime. Quand le principal canal de vente des accès initiaux se ferme, deux choses se produisent : l’offre se raréfie temporairement et la confiance baisse. Les courtiers fiables deviennent plus difficiles à identifier, ce qui ralentit la chaîne qui mène de la compromission initiale à l’attaque par rançongiciel. Pour les défenseurs, cette friction représente une fenêtre, courte mais réelle, où le rythme des attaques peut marquer le pas.
Cette friction ne supprime pas la menace, elle la déplace. Les acteurs les plus organisés migrent vers des canaux privés, des groupes Telegram fermés ou des forums sur invitation. Cette privatisation rend le renseignement sur les menaces plus difficile : moins de plateformes ouvertes signifie moins de visibilité pour les chercheurs en sécurité. C’est le paradoxe du succès policier, qui pousse l’adversaire vers une clandestinité plus profonde.
Pascal Le Digol, directeur France de WatchGuard, rappelle que la défense ne doit pas se reposer sur ces perturbations : les attaquants visent en priorité l’authentification et l’accès, et un forum fermé ne change rien aux fondamentaux d’hygiène numérique. La leçon vaut pour toutes les organisations qui ont vu, comme dans le cas de la cyberattaque contre la Commission européenne, qu’une seule faille d’accès suffit à compromettre une institution entière.
Cinq prédictions pour l’écosystème criminel post-XSS
Sur la base des données de 2025 et 2026 et des dynamiques observées après les précédentes saisies, voici cinq tendances probables pour les mois à venir.
- Fragmentation durable : aucun forum unique ne remplacera XSS.is à court terme. Le marché se répartira entre plusieurs plateformes plus petites, augmentant la friction mais réduisant la visibilité défensive.
- Privatisation des échanges : les acteurs majeurs basculeront davantage vers des canaux fermés et chiffrés, rendant le renseignement en source ouverte plus rare et plus coûteux.
- Effet dissuasif réel mais limité : la peur du « honeypot » freinera les nouveaux entrants, sans empêcher les opérateurs aguerris de poursuivre via des réseaux de confiance restreints.
- Nouvelles arrestations : le serveur Jabber saisi devrait alimenter des enquêtes secondaires, avec des interpellations échelonnées sur 12 à 24 mois.
- Pression accrue sur les zones refuges : la coopération franco-ukrainienne servira de modèle, étendant la traque à des juridictions longtemps jugées hors d’atteinte.
Ces prédictions partagent une logique commune : le démantèlement d’un forum ne tue pas la cybercriminalité, il la rend plus chère et plus risquée pour ses acteurs. C’est précisément l’objectif des autorités, qui ont renoncé à l’idée d’une victoire définitive au profit d’une stratégie d’usure.
Ce que les entreprises européennes doivent retenir
Pour une direction de la sécurité, le démantèlement de XSS.is n’est pas un motif de relâchement. Le message opérationnel est double. D’abord, la menace ne disparaît pas, elle se réorganise : les accès qui se vendaient hier sur le forum circulent aujourd’hui ailleurs. Ensuite, la fenêtre de friction actuelle doit servir à renforcer les fondamentaux plutôt qu’à baisser la garde.
Concrètement, cela signifie durcir l’authentification, surveiller les accès distants et auditer les comptes à privilèges, puisque ce sont précisément ces accès qui s’échangeaient sur XSS.is. La cartographie annuelle de l’ANSSI, détaillée dans notre panorama de la cybermenace 2025, confirme que la majorité des intrusions exploitent des accès légitimes compromis plutôt que des failles exotiques.
Enfin, les équipes de renseignement sur les menaces doivent adapter leurs sources. Avec la migration vers des canaux privés, la surveillance des forums ouverts perd en pertinence. L’investissement se déplace vers l’analyse comportementale, le partage sectoriel d’indicateurs et la collaboration avec les CERT nationaux, dont le CERT-FR publie quotidiennement des alertes de vulnérabilité.
FAQ : démantèlement de XSS.is
Qu’était exactement XSS.is ?
XSS.is était un forum russophone de cybercriminalité actif depuis 2004 sous le nom DaMaGeLaB. Il facilitait le commerce de logiciels malveillants, d’exploits, d’accès à des systèmes compromis et servait de point de recrutement pour les groupes de rançongiciels. Au moment de sa saisie, il comptait 50 853 membres enregistrés.
Qui a démantelé le forum ?
L’opération a été menée par la police française et le parquet de Paris, avec le soutien d’Europol et l’intervention des autorités ukrainiennes, qui ont procédé à l’arrestation de l’administrateur présumé à Kyiv le 22 juillet 2025.
Combien l’administrateur aurait-il gagné ?
Europol estime que l’administrateur a tiré au moins 7 millions d’euros (environ 8,2 millions de dollars) des revenus publicitaires et des commissions sur les transactions facilitées par le forum.
Le forum a-t-il rouvert depuis ?
Un successeur nommé DamageLib a vu le jour et comptait 33 487 utilisateurs fin août 2025, mais son activité reste faible (248 fils et 3 107 messages le premier mois). La crise de confiance liée à la saisie du serveur Jabber freine fortement la reconstruction.
Quel est l’impact pour les entreprises ?
À court terme, la friction sur le marché des accès initiaux peut ralentir certaines attaques. Mais la menace se déplace vers des canaux privés. Les entreprises doivent maintenir leurs fondamentaux : authentification forte, surveillance des accès distants et audit des comptes à privilèges.
Cette saisie change-t-elle la donne pour les forums russophones ?
Oui. Les forums russophones avaient historiquement été moins ciblés que les anglophones. L’arrestation à Kyiv montre que la coopération internationale peut atteindre des opérateurs jusque-là protégés par les frontières, ce qui modifie le calcul de risque de tout le milieu.
Related Coverage
- Ransomware en Europe : +44,5 % de victimes [2026]
- ShinyHunters : 1,5 milliard de données volées [2026]
- Scattered Spider : 300 M£ de pertes chez M&S [2026]
- Cybermenace 2025 : l’ANSSI traite 1 366 incidents [2026]
- Cyberattaque Commission européenne : 340 Go volés [2026]
- Toute notre couverture sécurité
