CTI & OSINT

Le forum cybercriminel XSS et l’arrestation de son administrateur

by  • 

Un forum phare de la cybercriminalité russophone

Je vous propose cette synthèse qui se base sur des sources OSINT. Factuel et neutre !

Le forum XSS (accessible via le domaine xss.is) s’est imposé comme l’une des principales places fortes de la cybercriminalité mondiale, en particulier au sein de la communauté russophone.

Lancé à l’origine en 2004 sous le nom DaMaGeLaB, ce forum de hackers a traversé près de deux décennies d’activité illicite sur le dark web. Après l’arrestation en 2017 en Biélorussie de l’un de ses administrateurs fondateurs (connu sous le pseudonyme Ar3s, de son vrai nom Sergey Yarets),

la plateforme a brièvement fermé. Elle a été relancée fin 2018 sous le nom de XSS, en référence à la vulnérabilité informatique cross-site scripting, afin de prendre un nouveau départ et de projeter une image plus technique tout en se distançant des déboires passés avec les autorités.

Au fil des ans, XSS s’est construit une réputation de marché clandestin majeur et sélectif. Le forum revendiquait plus de 50 000 membres inscrits, recrutés via un processus de filtrage rigoureux – allant jusqu’à exiger des frais d’inscription pour éviter les indésirables. Il servait de place de marché pour l’échange de données volées, de malwares, d’outils de piratage et d’exploits (notamment des vulnérabilités zero-day), ainsi que pour la vente d’accès à des systèmes compromis.

Des sections du forum étaient également consacrées à la publication ou à la fuite de données issues de cyberattaques retentissantes. XSS proposait en outre à sa communauté une messagerie chiffrée basée sur Jabber/XMPP (sous le nom thesecure.biz) afin de faciliter des communications anonymes entre cybercriminels.

Ce forum s’adressait au « haut du spectre » de la cybercriminalité, hébergeant des acteurs parmi les plus sophistiqués. Par exemple, jusqu’en 2021, XSS a été l’un des hauts lieux de recrutement pour les rançongiciels : de nombreux groupes y recrutaient des affiliés et y vendaient leurs ransomwares avant que l’administration du site n’annonce en mai 2021 l’interdiction de toute publicité liée aux ransomwares.

Cette décision faisait suite à la médiatisation extrême d’une attaque (Colonial Pipeline) et visait à réduire la visibilité du forum auprès des forces de l’ordre. Historiquement, la longévité et l’impunité apparente de XSS ont même alimenté des spéculations sur d’éventuels liens du forum avec les services de renseignement russes (FSB, SVR, GRU), bien qu’aucune preuve publique n’ait confirmé ces allégations.

Quoi qu’il en soit, XSS est demeuré jusqu’à récemment un pilier du cybercrime underground, offrant à ses membres à la fois un marché sûr et un réseau social pour criminels, où règnent l’anonymat et la confiance.

Rôle de l’administrateur et revenus illicites

Le succès et la pérennité de XSS tiennent en grande partie au rôle central joué par son administrateur principal. L’individu à la tête du forum opérait sous le pseudonyme « Toha », présenté comme un vétéran de près de 20 ans dans l’écosystème cybercriminel.

D’après Europol, cet administrateur n’était pas qu’un simple gestionnaire technique : il agissait en courroie de transmission du cybercrime en facilitant et sécurisant les transactions illégales. En tant que tiers de confiance, Toha arbitrait les différends entre criminels, garantissait le bon déroulement des échanges (par exemple en jouant le rôle d’escrow pour les paiements), et fournissait une messagerie privée sécurisée aux membres via la plateforme thesecure.biz. Ce statut d’administrateur-arbitre lui conférait une position influente dans la communauté, lui permettant de tisser des liens avec de nombreux groupes de menace majeurs au fil des ans.

En échange de ses services et de l’hébergement du forum, l’administrateur tirait des revenus substantiels. Les autorités estiment qu’il a engrangé plus de 7 millions d’euros de gains illicites, en combinant les commissions sur les transactions (frais d’arbitrage) et les revenus publicitaires générés par les annonces postées sur le forum. Ces profits témoignent du volume des activités criminelles facilitées par XSS.

Par ailleurs, les enquêteurs soupçonnent l’administrateur lui-même d’avoir participé directement à certaines opérations illicites, notamment des attaques informatiques et des schemes d’extorsion en bande organisée, ce qui explique qu’il soit également poursuivi pour association de malfaiteurs.

Enquête internationale et arrestation du suspect

L’arrestation du gestionnaire de XSS est l’aboutissement d’une enquête de longue haleine menée à l’échelle internationale. En France, une enquête préliminaire avait été ouverte dès juillet 2021 par la Brigade de Lutte contre la Cybercriminalité (BL2C) de la Préfecture de police de Paris, sous l’autorité du parquet de Paris.

En novembre 2021, une information judiciaire était formellement ouverte, notamment pour complicité d’atteinte à des systèmes de traitement automatisé de données, extorsion en bande organisée et association de malfaiteurs. Ces qualifications reflètent la gravité des faits reprochés, liés aux activités du forum XSS (intrusions, rançonnages, etc.).

Compte tenu de la dimension transnationale de l’affaire, la France a rapidement sollicité la coopération des autorités ukrainiennes. En septembre 2024, l’enquête est entrée dans une phase opérationnelle sur le sol ukrainien, avec le déploiement d’enquêteurs français à Kyiv et la mise en place d’un poste de commandement virtuel coordonné par Europol.

Cette collaboration étroite a permis de partager les renseignements en temps réel et de cartographier l’infrastructure technique du forum. Les autorités françaises, ukrainiennes (notamment le Service de Sécurité d’Ukraine, SBU) et Europol ont ainsi pu planifier une action coup de poing destinée à mettre un terme aux activités de XSS.

Le 22 juillet 2025, lors d’une opération coordonnée, le suspect principal a été localisé et interpellé à Kyiv par les forces de l’ordre ukrainiennes, en présence de policiers français. Europol a appuyé cette intervention sur le terrain en déployant notamment un bureau mobile pour assister au recueil des preuves numériques. L’identité civile du suspect n’a pas été rendue publique, mais les autorités françaises ont confirmé qu’il s’agit bien de l’administrateur agissant sous le pseudonyme Toha, âgé d’une quarantaine d’années d’après l’estimation de sa longue carrière criminelle.

Lors des perquisitions, du matériel informatique et des données ont été saisis. En particulier, le serveur Jabber utilisé par le forum (thesecure.biz) avait fait l’objet d’une surveillance judicaire en amont, permettant d’intercepter des communications entre malfaiteurs. Ces messages ont fourni des preuves tangibles d’un large éventail d’activités criminelles – y compris des discussions liant le forum à des attaques par ransomware – et ont aidé à identifier le rôle exact du suspect dans ces affaires, consolidant le dossier d’accusation.

Immédiatement après l’arrestation, l’infrastructure du forum XSS a été neutralisée. Le nom de domaine principal xss.is affiche désormais une page de saisie judiciaire arborant les emblèmes de la BL2C française et du département cyber du SBU ukrainien. Les autres accès (notamment le site miroir en clair et l’adresse .onion sur Tor) ne répondent plus, indiquant un démantèlement technique en cours. Les autorités analysent actuellement les bases de données et contenus saisis afin d’exploiter les renseignements qu’ils contiennent. La masse de données recueillies (comptes d’utilisateurs, historiques d’échanges, transactions, etc.) servira à alimenter des enquêtes en cours à travers l’Europe et au-delà, dans le but d’identifier d’autres criminels liés à la plateforme.

Une opération coordonnée de lutte contre la cybercriminalité

Le démantèlement de XSS.is constitue une victoire majeure pour les services chargés de la lutte contre la cybercriminalité et un coup dur porté à la criminalité en ligne internationale. Comme le note un analyste, la disparition de cette plateforme influente représente un revers significatif pour la communauté cybercriminelle mondiale.

Certes, les forums illicites tendent à proliférer sans cesse – d’autres apparaissent ou disparaissent régulièrement – mais la fermeture de XSS prive les acteurs malveillants d’un écosystème établi où ils trouvaient jusqu’alors confiance, anonymat et accès facile à des ressources criminelles de premier plan.

Cette affaire met en lumière l’importance des forums clandestins dans l’économie du cybercrime contemporain. Le dernier rapport IOCTA 2025 d’Europol (Internet Organised Crime Threat Assessment) souligne en effet que les marchés noirs de données volées et de services de hacking jouent un rôle central pour alimenter toute une gamme de menaces, du ransomware à la fraude en passant par le vol d’identité et le chantage numérique. Des plateformes comme XSS fournissent aux criminels un lieu d’échange où s’établissent la réputation et la confiance nécessaires à leurs transactions illégales, ce qui contribue à professionnaliser et à soutenir leurs activités.

L’action policière visant XSS s’aligne donc étroitement avec les priorités identifiées par la communauté du renseignement et de la sécurité informatique : s’attaquer aux infrastructures clés qui sous-tendent l’économie souterraine peut avoir un effet perturbateur de grande envergure.

Sur le plan stratégique, l’opération ayant conduit à l’arrestation de Toha illustre la montée en puissance de la coopération internationale contre la cybercriminalité. Coordonnée par le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol, elle s’inscrit dans le cadre du projet EMPACT (European Multidisciplinary Platform Against Criminal Threats) qui vise à fédérer, par cycles de quatre ans, les efforts des pays de l’UE contre les menaces criminelles les plus sérieuses.

Dans cette affaire, l’échange d’informations en temps réel et le soutien analytique apportés par Europol ont été décisifs.

L’opération conjointe a réuni des entités telles que le parquet de Paris (JUNALCO), la BL2C de la Police nationale française, le Bureau du Procureur général d’Ukraine et le département cyber du SBU, avec l’appui d’Europol et de son centre EC3. Cette synergie a permis une réponse rapide et ciblée pour démanteler l’infrastructure criminelle de XSS et interrompre les activités illicites qui y proliféraient.

Enfin, l’arrestation du gestionnaire de XSS s’ajoute à une série récente d’actions d’envergure contre les forums et marchés clandestins en ligne.

Ces derniers mois, plusieurs plateformes notoires ont été ciblées par les autorités dans le monde : par exemple, en juin 2025 des suspects liés à BreachForums (grand forum de revente de données volées) ont été arrêtés, et des forums de moindre envergure comme Cracked ou Nulled ont également fait l’objet de saisies. Le démantèlement de XSS – l’un des forums les plus anciens et respectés du milieu – envoie ainsi un message clair à la sphère cybercriminelle : aucune plateforme, si « intouchable » soit-elle en apparence, n’est hors de portée de la justice internationale.

Enjoy !

Sources :