Data breaches have evolved from isolated incidents requiring damage control into the raw material of a sophisticated underground economy, according to offensive cybersecurity firm Synacktiv. Stolen data now functions as an operational resource that makes cyberattacks faster, cheaper, and significantly more effective.

The cybercriminal ecosystem mirrors a fragmented industrial supply chain, with specialized roles handling collection (via infostealers or direct system intrusions), aggregation, enrichment, and exploitation. Automated services mass-test compromised credentials, distilling only the valid access combinations into structured “ULP lists” (URL, login, password). These are sold at scale to hijack accounts, infiltrate systems, or fuel extortion campaigns. “This model is comparable to industrial subcontracting chains. A successful cyberattack most often results from a series of coordinated interventions,” notes Synacktiv expert Maxence Fossat.

The scale is staggering: estimates put circulating credential databases at 1–2 billion entries in 2025. Even accounting for obsolete or duplicate records, the figure underscores the market’s depth.

The economic logic is transformative. Leaked data slashes the cost of gaining initial access, boosts attack success rates, and accelerates execution. Rather than relying on costly, complex intrusion techniques, attackers increasingly use legitimate but compromised accounts—a stealthy approach that rarely triggers immediate alerts, since fraudulent logins are indistinguishable from genuine ones. Stolen data also enables highly convincing social engineering: internal details about team structures, project names, and communication styles allow phishing and vishing campaigns that are far more precise. The difference between a crude fraudulent message and a contextually perfect one is the data underpinning it.

The industrialization is amplified by automated tools and generative AI, allowing even low-skilled actors to produce code, test credentials, and exploit data at scale. The barrier to entry has collapsed.

Synacktiv’s investigations reveal a persistent and underestimated risk. Attackers often exploit data from old breaches—sometimes years after initial disclosure. Technical data such as internal documentation, configurations, architecture diagrams, or source code can be stored long-term and later used to identify vulnerabilities or prepare targeted attacks. Moreover, many IP and technical data thefts go unreported, despite potentially major strategic impact.

At the heart of this system are Initial Access Brokers (IABs), intermediaries who identify compromised access points and sell them to ransomware operators or other criminal groups—an efficient division of labor that optimizes skills and reduces risk for all parties.

Renaud Feil, co-founder and president of Synacktiv, calls for a fundamental shift in perspective: “We need to move beyond viewing data leaks as isolated events. They must be understood as fuel for a structured underground economic ecosystem. The mechanisms we see in attacks against individuals—account theft, identity usurpation, phishing—apply fully to enterprises, with amplified effects.” In short, a data breach is never truly over; it continues to feed a market that never sleeps.

Il y a encore quelques années, une fuite de données était perçue comme un incident à gérer, une brèche à colmater, un communiqué de presse embarrassant à publier… Ce temps semble révolu.

Selon les équipes de Synacktiv, cabinet spécialisé en cybersécurité offensive, les données volées sont devenues une ressource opérationnelle à part entière, intégrée au cœur d’une économie souterraine structurée qui rend les cyberattaques plus rapides, moins coûteuses et significativement plus efficaces.

Une chaîne de valeur calquée sur l’industrie

Le monde de la cybercriminalité s’est profondément transformé. C’est aujourd’hui un écosystème fragmenté, organisé comme un marché, avec des rôles clairement répartis entre acteurs spécialisés. La collecte d’abord, via des infostealers ou des intrusions directes dans les systèmes. L’agrégation ensuite, puis l’enrichissement et enfin l’exploitation.

Des services automatisés testent massivement les identifiants récupérés pour n’en conserver que les accès réellement utilisables. Ces données sont ensuite structurées sous forme de triplets ( URL, login, mot de passe) que les professionnels du secteur appellent des listes ULP. Elles sont revendues à grande échelle pour compromettre des comptes, pénétrer des systèmes d’information ou alimenter des campagnes d’extorsion.

« Ce modèle est comparable à des chaînes de sous-traitance industrielles. Une cyberattaque réussie résulte le plus souvent d’une succession d’interventions coordonnées », explique Maxence Fossat, expert en cybersécurité chez Synacktiv.

L’ampleur du phénomène donne le vertige. Plusieurs analyses estiment que les bases d’identifiants en circulation représentent entre 1 et 2 milliards d’entrées en 2025. Une part de ces données peut certes être obsolète ou dupliquée, mais l’ordre de grandeur dit tout de la profondeur du marché.

La donnée volée comme levier de rendement

Ce qui change fondamentalement la donne, c’est la logique économique qui sous-tend ces pratiques. Les données issues de fuites permettent de réduire le coût d’acquisition d’un accès, d’augmenter le taux de succès des attaques et d’en accélérer l’exécution. En clair, elles améliorent le retour sur investissement de l’attaquant.

L’accès initial à un système repose de plus en plus sur l’utilisation de comptes légitimes compromis, plutôt que sur des techniques d’intrusion complexes et coûteuses. Ce mode opératoire est particulièrement redoutable. Il ne génère pas d’alerte immédiate, car rien ne distingue, a priori, une connexion frauduleuse d’une connexion légitime.

Mais les données volées ne servent pas uniquement à ouvrir des portes. Elles servent aussi à construire des scénarios d’attaque beaucoup plus convaincants. En s’appuyant sur des informations internes (organisation des équipes, noms de projets, habitudes de communication, etc) les attaquants élaborent des opérations de phishing, de vishing ou d’ingénierie sociale d’une redoutable précision. La différence entre un message frauduleux grossier et un message parfaitement contextualisé, c’est précisément la donnée.

Cette industrialisation est encore amplifiée par l’essor des outils automatisés et de l’IA générative. Des acteurs au niveau technique limité peuvent désormais produire du code, tester des identifiants et exploiter des données à grande échelle. La barrière à l’entrée s’est effondrée.

Un risque durable, largement sous-estimé

Les investigations menées par Synacktiv révèlent un autre angle mort. Certaines attaques s’appuient sur des données issues de fuites anciennes, parfois plusieurs années après leur divulgation initiale.

Les données techniques (documentation interne, configurations, schémas d’architecture ou code source) peuvent ainsi être conservées pendant des années avant d’être exploitées pour identifier des vulnérabilités ou préparer des attaques ciblées.

Par ailleurs, de nombreuses attaques visant la propriété intellectuelle ou les données techniques ne font l’objet d’aucune médiatisation. Elles peuvent pourtant avoir des impacts stratégiques majeurs.

Au cœur de ce système, des acteurs jouent un rôle de pivot : les Initial Access Brokers. Ces intermédiaires identifient des accès compromis et les revendent à d’autres groupes criminels (notamment des opérateurs de ransomware) qui prennent le relais pour mener l’attaque. Une division du travail efficace, qui optimise les compétences de chacun et réduit les risques pour tous.

Changer de grille de lecture

Pour Renaud Feil, co-fondateur et président de Synacktiv, l’enjeu est d’abord de changer de grille de lecture. « L’enjeu est aujourd’hui de dépasser la lecture ponctuelle des fuites de données. Celles-ci doivent être comprises comme des événements qui alimentent un écosystème économique souterrain et structuré. Les mécanismes observés dans les attaques visant les particuliers, vol de comptes, usurpation d’identité, phishing…s’appliquent pleinement aux entreprises, avec des effets amplifiés. »

Autrement dit, une fuite de données n’est jamais vraiment terminée. Elle continue de produire des effets bien après sa découverte, alimentant un marché qui, lui, ne dort jamais.

The post Données volées : nouveau carburant d’une économie souterraine appeared first on Silicon.fr.