Deux domaines saisis, treize arrestations dans quatorze pays et des dizaines de perquisitions simultanées : l'"Operation Leak", coordonnée depuis les locaux d'Europol à La Haye, a mis fin aux activités de LeakBase, un forum criminel parmi les plus fréquentés du cybercrime anglophone.
Si les places de marché criminelles sont d'ordinaire cachées au fin fond du dark web, LeakBase était accessible aux yeux de tous. Les cybercriminels y achetaient et revendaient des bases de données volées, des identifiants bancaires ou encore des outils de piratage. Les 3 et 4 mars 2026, des forces de l'ordre ont agi de façon synchronisée dans quatorze pays pour le fermer.
Un stock de données volées mis en vente sur le Web
Selon une déclaration sous serment déscellée le 3 mars par le département américain de la Justice, LeakBase comptait plus de 142 000 membres enregistrés et hébergeait plus de 215 000 messages. Le forum centralisait des archives issues de piratages à grande échelle : identifiants, mots de passe, numéros de cartes bancaires et données d'entreprises américaines, le tout mis en vente ou échangé entre membres.
Ce type de plateforme facilite ce que les professionnels appellent le "credential stuffing", c'est-à-dire des identifiants volés sur un service puis testés automatiquement sur d'autres. Les pirates comptent donc sur le fait que beaucoup d'utilisateurs réutilisent le même mot de passe sur plusieurs sites. Le DOJ précise explicitement que ces données "pouvaient faciliter des prises de contrôle de comptes supplémentaires."
13 arrestations et des données saisies pour alimenter de nouvelles enquêtes
L'opération a conduit à treize arrestations, trente-deux perquisitions et des entretiens avec trente-trois suspects dans plusieurs pays comme l'Australie, la Belgique, la Pologne, le Portugal, l'Espagne, la Roumanie, le Kosovo ou encore la Malaisie. Les autorités ont également saisi les deux domaines du forum et collecté l'ensemble des données de la plateforme. Celles-ci regroupent les comptes utilisateurs, les messages privés, les coordonnées bancaires, les adresses IP ou encore des journaux de connexion. Ces informations permettront d'alimenter de futures poursuites.
Brett Leatherman, directeur adjoint de la division cyber du FBI, a indiqué dans un communiqué qu'aucun criminel n'est "véritablement anonyme en ligne." Les membres actifs du forum ont par ailleurs reçu des messages de prévention directement sur leur compte, pour leur signaler qu'ils sont identifiés.
Les autorités font tomber les forums un à un. En 2022, il y a d'abord eu RaidForums, puis BreachForums l'année suivante. BreachForums avait d'ailleurs exposé les données de près de 324 000 membres.
