{"id":177,"date":"2026-06-15T20:21:10","date_gmt":"2026-06-15T20:21:10","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/15\/xss-forum-cybercriminalite-demantelement-2026\/"},"modified":"2026-06-15T20:22:35","modified_gmt":"2026-06-15T20:22:35","slug":"xss-forum-cybercriminalite-demantelement-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/15\/xss-forum-cybercriminalite-demantelement-2026\/","title":{"rendered":"XSS.is d\u00e9mantel\u00e9 : 50 000 pirates, 7 M\u20ac [2026]"},"content":{"rendered":"\n

Le 22 juillet 2025, la police ukrainienne a interpell\u00e9 \u00e0 Kyiv l’administrateur pr\u00e9sum\u00e9 de XSS.is, le forum russophone le plus influent de la cybercriminalit\u00e9 mondiale. Pr\u00e8s d’un an plus tard, l’onde de choc traverse encore l’\u00e9cosyst\u00e8me criminel. L’op\u00e9ration, pilot\u00e9e par la police fran\u00e7aise et le parquet de Paris avec le soutien d’Europol, a mis hors ligne une plateforme vieille de vingt ans, qui comptait plus de 50 000 membres et g\u00e9n\u00e9rait un profit estim\u00e9 \u00e0 7 millions d’euros pour son gestionnaire. Cet article analyse la port\u00e9e r\u00e9elle du d\u00e9mant\u00e8lement, ses cons\u00e9quences sur le march\u00e9 noir et ce qu’il r\u00e9v\u00e8le de la strat\u00e9gie europ\u00e9enne face \u00e0 la cybercriminalit\u00e9 organis\u00e9e.<\/p>\n\n\n\n

XSS.is d\u00e9mantel\u00e9 : ce que l’on sait de l’op\u00e9ration<\/h2>\n\n\n\n

Le 23 juillet 2025, les visiteurs de XSS.is ont d\u00e9couvert une banni\u00e8re de saisie \u00e0 la place du forum. La page affichait les logos des autorit\u00e9s fran\u00e7aises, dont la Brigade de lutte contre la cybercriminalit\u00e9, et annon\u00e7ait la prise de contr\u00f4le du domaine. La veille, un homme soup\u00e7onn\u00e9 d’administrer la plateforme avait \u00e9t\u00e9 arr\u00eat\u00e9 \u00e0 Kyiv. L’enqu\u00eate, ouverte par le parquet de Paris, courait depuis plusieurs ann\u00e9es et a mobilis\u00e9 une coop\u00e9ration judiciaire franco-ukrainienne \u00e9troite, coordonn\u00e9e par Europol.<\/p>\n\n\n\n

Europol a d\u00e9crit XSS.is comme \u00ab l’une des plateformes cybercriminelles russophones les plus influentes au monde \u00bb. L’agence europ\u00e9enne a pr\u00e9cis\u00e9 que l’administrateur ne se contentait pas d’h\u00e9berger des annonces : il arbitrait les litiges entre criminels et garantissait la s\u00e9curit\u00e9 des transactions, jouant le r\u00f4le de tiers de confiance dans un milieu o\u00f9 la confiance n’existe pas. Ce positionnement explique la valeur du forum et la difficult\u00e9 de le remplacer.<\/p>\n\n\n\n

Les enqu\u00eateurs ont aussi obtenu l’acc\u00e8s \u00e0 thesecure.biz, un serveur Jabber chiffr\u00e9 utilis\u00e9 depuis d\u00e9but 2021 par les participants au forum pour communiquer hors plateforme. Cette saisie constitue le v\u00e9ritable coup dur : au-del\u00e0 du site, ce sont les conversations priv\u00e9es de centaines d’acteurs malveillants qui ont potentiellement bascul\u00e9 entre les mains des autorit\u00e9s. C’est cette incertitude, plus que la fermeture du domaine, qui a paralys\u00e9 l’\u00e9cosyst\u00e8me pendant des mois.<\/p>\n\n\n\n

Vingt ans d’histoire : de DaMaGeLaB \u00e0 XSS.is<\/h2>\n\n\n\n

XSS.is n’\u00e9tait pas un forum ordinaire. Sous le nom de DaMaGeLaB, il a vu le jour en novembre 2004, ce qui en faisait l’un des plus anciens espaces criminels encore actifs sur le web au moment de sa chute. Le forum a ensuite adopt\u00e9 le nom XSS, r\u00e9f\u00e9rence directe \u00e0 la faille de s\u00e9curit\u00e9 applicative bien connue (le cross-site scripting). Les sources divergent sur la date exacte du changement de nom, situ\u00e9e entre 2013 et 2018 selon les analystes, mais toutes s’accordent sur la long\u00e9vit\u00e9 exceptionnelle de la plateforme.<\/p>\n\n\n\n

Cette anciennet\u00e9 avait une cons\u00e9quence strat\u00e9gique. Pendant deux d\u00e9cennies, les forums russophones avaient \u00e9t\u00e9 beaucoup moins cibl\u00e9s par les forces de l’ordre occidentales que leurs \u00e9quivalents anglophones comme RaidForums ou BreachForums. XSS.is b\u00e9n\u00e9ficiait d’une r\u00e9putation de stabilit\u00e9 et d’un effet de r\u00e9seau consid\u00e9rable : on y recrutait des affili\u00e9s, on y vendait des acc\u00e8s initiaux \u00e0 des entreprises compromises, on y n\u00e9gociait des kits de ran\u00e7ongiciel. Sa disparition brutale a donc envoy\u00e9 un message clair \u00e0 tout le milieu : aucune plateforme russophone n’est d\u00e9sormais intouchable.<\/p>\n\n\n\n

Selon Intel 471, le forum h\u00e9bergeait au moment de sa saisie pr\u00e8s de 50 000 membres enregistr\u00e9s, plus de 110 000 fils de discussion et environ 850 000 messages. KELA a affin\u00e9 ce d\u00e9compte \u00e0 50 853 comptes. Ces chiffres placent XSS.is parmi les plus grandes places de march\u00e9 criminelles jamais d\u00e9mantel\u00e9es, et donnent la mesure du vide laiss\u00e9 dans l’organisation du cybercrime russophone.<\/p>\n\n\n\n

XSS.is en chiffres : l’ampleur du forum saisi<\/h2>\n\n\n\n
Indicateur<\/th>Donn\u00e9e<\/th>Source<\/th><\/tr><\/thead>
Ann\u00e9e de cr\u00e9ation (DaMaGeLaB)<\/td>Novembre 2004<\/td>Wikipedia \/ Searchlight<\/td><\/tr>
Membres enregistr\u00e9s<\/td>50 853<\/td>KELA<\/td><\/tr>
Fils de discussion<\/td>110 000+<\/td>Intel 471<\/td><\/tr>
Messages publi\u00e9s<\/td>850 000+<\/td>Intel 471<\/td><\/tr>
Profit pr\u00e9sum\u00e9 de l’administrateur<\/td>7 M\u20ac (env. 8,2 M$)<\/td>Europol \/ Intel 471<\/td><\/tr>
Date d’arrestation (Kyiv)<\/td>22 juillet 2025<\/td>Europol<\/td><\/tr>
Mise hors ligne du domaine<\/td>23 juillet 2025<\/td>ZeroFox<\/td><\/tr>
Serveur Jabber saisi<\/td>thesecure.biz (actif depuis 2021)<\/td>Intel 471<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le profit de 7 millions d’euros attribu\u00e9 \u00e0 l’administrateur provient, selon Europol, des revenus publicitaires et des commissions pr\u00e9lev\u00e9es sur les transactions facilit\u00e9es par le forum. Intel 471 a traduit ce montant \u00e0 environ 8,2 millions de dollars. Ce chiffre, modeste compar\u00e9 aux pertes inflig\u00e9es aux victimes des attaques organis\u00e9es via la plateforme, illustre un mod\u00e8le \u00e9conomique discret mais durable : XSS.is mon\u00e9tisait l’infrastructure du crime, pas le crime lui-m\u00eame.<\/p>\n\n\n\n

Le profil \u00ab Toha \u00bb : qui \u00e9tait l’administrateur arr\u00eat\u00e9<\/h2>\n\n\n\n

Plusieurs rapports de 2025 identifient l’administrateur pr\u00e9sum\u00e9 sous l’alias \u00ab Toha \u00bb. Un compte d’enqu\u00eate \u00e9voque un homme pr\u00e9nomm\u00e9 Aleksandr r\u00e9sidant \u00e0 Kyiv, mais cette identit\u00e9 r\u00e9elle reste moins solidement \u00e9tablie que le pseudonyme public. La prudence s’impose : dans ce milieu, un seul op\u00e9rateur peut g\u00e9rer plusieurs identit\u00e9s, et les forces de l’ordre ne r\u00e9v\u00e8lent que rarement l’int\u00e9gralit\u00e9 de leurs \u00e9l\u00e9ments avant le proc\u00e8s.<\/p>\n\n\n\n

Ce qui rend le cas marquant, c’est la fonction occup\u00e9e. L’administrateur n’\u00e9tait pas un simple h\u00e9bergeur technique. Il garantissait les d\u00e9p\u00f4ts (le syst\u00e8me d’\u00ab escrow \u00bb qui s\u00e9curise les paiements entre deux criminels) et tranchait les conflits commerciaux. En arr\u00eatant cette personne, les autorit\u00e9s n’ont pas seulement ferm\u00e9 un site : elles ont retir\u00e9 l’arbitre central d’un march\u00e9 entier. KELA a rapport\u00e9 que pr\u00e8s de 6 millions de dollars de d\u00e9p\u00f4ts utilisateurs sont rest\u00e9s contest\u00e9s apr\u00e8s la saisie, les membres estimant la dette totale \u00e0 50 \u00e0 55 bitcoins, soit environ 6,17 millions de dollars.<\/p>\n\n\n\n

John Hammond, chercheur principal en s\u00e9curit\u00e9 chez Huntress, a soulign\u00e9 l’ampleur technique de l’op\u00e9ration en notant que les versions clearnet et dark web du forum avaient toutes deux \u00e9t\u00e9 neutralis\u00e9es. Cette double frappe, rare dans les actions contre les forums, a priv\u00e9 les utilisateurs de tout point de repli imm\u00e9diat et accentu\u00e9 le climat de parano\u00efa.<\/p>\n\n\n\n

Une crise de confiance qui paralyse le march\u00e9 noir<\/h2>\n\n\n\n

L’effet le plus durable du d\u00e9mant\u00e8lement n’est pas la fermeture du site, mais la d\u00e9fiance qu’il a install\u00e9e. D\u00e8s la saisie du serveur Jabber, une question a obs\u00e9d\u00e9 les membres : les autorit\u00e9s ont-elles transform\u00e9 l’infrastructure en pi\u00e8ge ? KELA a document\u00e9 une v\u00e9ritable crise de confiance, avec la crainte d’un \u00ab honeypot \u00bb policier et le remboursement seulement partiel des d\u00e9p\u00f4ts. Quand un criminel ne sait plus si la plateforme qu’il utilise est surveill\u00e9e, il cesse de l’utiliser.<\/p>\n\n\n\n

Cette d\u00e9fiance a un co\u00fbt op\u00e9rationnel concret. Les courtiers en acc\u00e8s initiaux, qui revendent les portes d’entr\u00e9e vers les r\u00e9seaux d’entreprise, ont vu leur principal canal de distribution dispara\u00eetre. Les op\u00e9rateurs de ran\u00e7ongiciels, qui recrutaient des affili\u00e9s et annon\u00e7aient leurs offres sur XSS.is, ont d\u00fb se replier vers des espaces plus petits et moins liquides. Pour comprendre comment ces acteurs s’organisent \u00e0 l’\u00e9chelle du continent, notre analyse du ransomware en Europe<\/a> d\u00e9taille la cha\u00eene de valeur de l’extorsion.<\/p>\n\n\n\n

La fragmentation qui en r\u00e9sulte complique paradoxalement le travail d\u00e9fensif \u00e0 court terme. Un march\u00e9 centralis\u00e9 est plus facile \u00e0 surveiller qu’une dizaine de petits forums dispers\u00e9s. Mais \u00e0 moyen terme, la perte de confiance ralentit l’ensemble du syst\u00e8me : les transactions sont plus lentes, les escroqueries entre criminels se multiplient, et la barri\u00e8re \u00e0 l’entr\u00e9e pour les nouveaux venus remonte.<\/p>\n\n\n\n

DamageLib : le successeur qui peine \u00e0 convaincre<\/h2>\n\n\n\n

Comme apr\u00e8s chaque grande saisie, des mod\u00e9rateurs ont tent\u00e9 de reconstruire. Un successeur baptis\u00e9 DamageLib (clin d’\u0153il au nom historique DaMaGeLaB) a vu le jour dans les semaines suivant la chute. Au 27 ao\u00fbt 2025, KELA y d\u00e9nombrait 33 487 utilisateurs, soit environ 66 % de la base de XSS.is. Sur le papier, la migration semblait rapide.<\/p>\n\n\n\n

Les chiffres d’activit\u00e9 racontent une autre histoire. Lors de son premier mois, DamageLib ne comptait que 248 fils de discussion et 3 107 messages, \u00e0 comparer aux plus de 14 400 messages publi\u00e9s sur XSS.is durant le seul mois pr\u00e9c\u00e9dant sa saisie. Autrement dit, les comptes ont migr\u00e9, mais pas la vie du forum. Sans la r\u00e9putation accumul\u00e9e sur vingt ans, sans l’arbitre de confiance, le successeur reste une coquille \u00e0 moiti\u00e9 vide.<\/p>\n\n\n\n

Pendant ce temps, le forum concurrent Exploit a capt\u00e9 une partie du flux : KELA a observ\u00e9 une hausse de trafic de pr\u00e8s de 24 % alors que les acteurs cherchaient des alternatives. Cette redistribution illustre une dynamique classique du milieu : l’eau trouve toujours un chemin, mais le d\u00e9mant\u00e8lement impose une friction r\u00e9elle, mesurable en semaines de d\u00e9sorganisation et en pertes de confiance qui ne se rach\u00e8tent pas.<\/p>\n\n\n\n

Comparatif : XSS.is face aux grandes saisies de forums<\/h2>\n\n\n\n

Le d\u00e9mant\u00e8lement de XSS.is s’inscrit dans une s\u00e9rie d’op\u00e9rations qui ont remodel\u00e9 le paysage criminel depuis 2022. Chaque saisie a ses sp\u00e9cificit\u00e9s, mais une tendance se d\u00e9gage : les forces de l’ordre frappent de plus en plus l’infrastructure et la confiance, pas seulement les serveurs.<\/p>\n\n\n\n

Plateforme<\/th>Langue<\/th>Ann\u00e9e de saisie<\/th>Particularit\u00e9<\/th><\/tr><\/thead>
XSS.is<\/td>Russe<\/td>2025<\/td>50 853 membres, arbitre central du milieu russophone<\/td><\/tr>
BreachForums<\/td>Anglais<\/td>Avril 2025 (perturbation)<\/td>Place majeure de revente de donn\u00e9es vol\u00e9es<\/td><\/tr>
RaidForums<\/td>Anglais<\/td>2022<\/td>Pr\u00e9curseur anglophone de la fuite de donn\u00e9es<\/td><\/tr>
Genesis Market<\/td>Multilingue<\/td>2023<\/td>March\u00e9 d’identit\u00e9s et d’empreintes de navigateur<\/td><\/tr>
Hydra<\/td>Russe<\/td>2022<\/td>Plus grand march\u00e9 darknet, ax\u00e9 drogue et blanchiment<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La diff\u00e9rence majeure de XSS.is tient \u00e0 sa langue et \u00e0 sa r\u00e9silience suppos\u00e9e. Intel 471 rappelle que les forums russophones avaient historiquement \u00e9t\u00e9 bien moins touch\u00e9s que les anglophones, en partie \u00e0 cause des fronti\u00e8res juridiques. L’arrestation \u00e0 Kyiv, rendue possible par la coop\u00e9ration ukrainienne, brise cette protection g\u00e9ographique. Pour les d\u00e9fenseurs, c’est un signal fort : la traque suit d\u00e9sormais les op\u00e9rateurs l\u00e0 o\u00f9 ils se cachent, y compris dans des zones longtemps consid\u00e9r\u00e9es comme des refuges.<\/p>\n\n\n\n

2025, l’ann\u00e9e des grandes frappes contre la cybercriminalit\u00e9<\/h2>\n\n\n\n

XSS.is n’a pas \u00e9t\u00e9 un cas isol\u00e9. ZeroFox situe l’op\u00e9ration dans une vague de saisies in\u00e9dite. En avril 2025, BreachForums a connu une nouvelle perturbation. En juin 2025, les autorit\u00e9s ont arr\u00eat\u00e9 des figures associ\u00e9es aux pseudonymes IntelBroker et ShinyHunters, ce dernier \u00e9tant li\u00e9 \u00e0 des campagnes d’extorsion massives d\u00e9taill\u00e9es dans notre dossier sur ShinyHunters<\/a>. En juillet, une autre action a vis\u00e9 des extorqueurs ciblant la grande distribution britannique.<\/p>\n\n\n\n

Cette concentration d’op\u00e9rations sur quelques mois n’est pas un hasard. Elle refl\u00e8te une maturation des dispositifs europ\u00e9ens, o\u00f9 le partage de renseignement entre Europol, les CERT nationaux et les unit\u00e9s sp\u00e9cialis\u00e9es s’est intensifi\u00e9. Les attaques contre la grande distribution, comme celle subie par Marks & Spencer et analys\u00e9e dans notre article sur Scattered Spider<\/a>, ont acc\u00e9l\u00e9r\u00e9 la pression politique pour des r\u00e9ponses coordonn\u00e9es.<\/p>\n\n\n\n

Le contexte fran\u00e7ais renforce cette dynamique. Selon la synth\u00e8se publi\u00e9e par Squair Law, la CNIL a re\u00e7u 6 167 notifications de violation de donn\u00e9es en 2025, en hausse de 9,5 %. L’ANSSI, de son c\u00f4t\u00e9, a recens\u00e9 1 366 incidents de s\u00e9curit\u00e9 en France sur la m\u00eame ann\u00e9e. Ces volumes nourrissent une volont\u00e9 politique de frapper \u00e0 la source, c’est-\u00e0-dire les plateformes qui industrialisent l’attaque.<\/p>\n\n\n\n

Pourquoi la France et Europol ont vis\u00e9 un forum russophone<\/h2>\n\n\n\n

Le choix de cibler XSS.is depuis Paris peut surprendre. La r\u00e9ponse tient \u00e0 la nature transfrontali\u00e8re du crime : nombre de victimes fran\u00e7aises et europ\u00e9ennes ont subi des attaques dont les outils, les acc\u00e8s ou les affili\u00e9s provenaient directement du forum. Le parquet de Paris dispose d’une comp\u00e9tence sp\u00e9cialis\u00e9e en cybercriminalit\u00e9, et la France a fait de la lutte contre les ran\u00e7ongiciels une priorit\u00e9 strat\u00e9gique affich\u00e9e par l’ANSSI.<\/p>\n\n\n\n

La coop\u00e9ration avec l’Ukraine a \u00e9t\u00e9 d\u00e9terminante. Malgr\u00e9 le contexte de guerre, les autorit\u00e9s ukrainiennes ont men\u00e9 l’arrestation sur leur sol \u00e0 la demande de Paris. Ce point m\u00e9rite d’\u00eatre soulign\u00e9 : il d\u00e9montre que les canaux de coop\u00e9ration judiciaire restent op\u00e9rationnels l\u00e0 o\u00f9 les analystes auraient pu craindre une paralysie. Ger\u00f4me Billois, associ\u00e9 cybers\u00e9curit\u00e9 chez Wavestone, observe r\u00e9guli\u00e8rement que l’efficacit\u00e9 des op\u00e9rations tient d\u00e9sormais autant \u00e0 la diplomatie judiciaire qu’\u00e0 la technique d’investigation.<\/p>\n\n\n\n

Europol a jou\u00e9 le r\u00f4le de chambre de compensation du renseignement, coordonnant les \u00e9l\u00e9ments entre services nationaux. Cette m\u00e9canique, peu visible, est devenue la colonne vert\u00e9brale des grandes saisies europ\u00e9ennes. Elle explique pourquoi des op\u00e9rations aussi complexes peuvent d\u00e9sormais aboutir en quelques ann\u00e9es, contre une d\u00e9cennie auparavant.<\/p>\n\n\n\n

Impact sur le march\u00e9 : prix des acc\u00e8s et ran\u00e7ongiciels<\/h2>\n\n\n\n

La disparition d’un forum aussi central modifie l’\u00e9conomie du cybercrime. Quand le principal canal de vente des acc\u00e8s initiaux se ferme, deux choses se produisent : l’offre se rar\u00e9fie temporairement et la confiance baisse. Les courtiers fiables deviennent plus difficiles \u00e0 identifier, ce qui ralentit la cha\u00eene qui m\u00e8ne de la compromission initiale \u00e0 l’attaque par ran\u00e7ongiciel. Pour les d\u00e9fenseurs, cette friction repr\u00e9sente une fen\u00eatre, courte mais r\u00e9elle, o\u00f9 le rythme des attaques peut marquer le pas.<\/p>\n\n\n\n

Cette friction ne supprime pas la menace, elle la d\u00e9place. Les acteurs les plus organis\u00e9s migrent vers des canaux priv\u00e9s, des groupes Telegram ferm\u00e9s ou des forums sur invitation. Cette privatisation rend le renseignement sur les menaces plus difficile : moins de plateformes ouvertes signifie moins de visibilit\u00e9 pour les chercheurs en s\u00e9curit\u00e9. C’est le paradoxe du succ\u00e8s policier, qui pousse l’adversaire vers une clandestinit\u00e9 plus profonde.<\/p>\n\n\n\n

Pascal Le Digol, directeur France de WatchGuard, rappelle que la d\u00e9fense ne doit pas se reposer sur ces perturbations : les attaquants visent en priorit\u00e9 l’authentification et l’acc\u00e8s, et un forum ferm\u00e9 ne change rien aux fondamentaux d’hygi\u00e8ne num\u00e9rique. La le\u00e7on vaut pour toutes les organisations qui ont vu, comme dans le cas de la cyberattaque contre la Commission europ\u00e9enne<\/a>, qu’une seule faille d’acc\u00e8s suffit \u00e0 compromettre une institution enti\u00e8re.<\/p>\n\n\n\n

Cinq pr\u00e9dictions pour l’\u00e9cosyst\u00e8me criminel post-XSS<\/h2>\n\n\n\n

Sur la base des donn\u00e9es de 2025 et 2026 et des dynamiques observ\u00e9es apr\u00e8s les pr\u00e9c\u00e9dentes saisies, voici cinq tendances probables pour les mois \u00e0 venir.<\/p>\n\n\n\n