Contexte: Trustwave SpiderLabs publie une analyse détaillant des menaces ciblant le secteur public via des places de marché du dark web et des canaux chiffrés.

Le dark web est devenu un véritable marché noir de la donnée, où s’échangent accès VPN gouvernementaux, emails d’administrations et informations sensibles issues d’organismes publics.
Selon le rapport “Data in the Dark: The Public Sector on the Dark Web” de Trustwave SpiderLabs (15 octobre 2025), les organisations du secteur public sont désormais des cibles privilégiées pour les cybercriminels, du simple courtier d’accès jusqu’aux acteurs soutenus par des États.

🔐 Accès VPN gouvernementaux à vendre

Les chercheurs ont observé une prolifération d’annonces vendant des accès VPN, RDP ou Citrix à des administrations dans le monde entier, souvent compromis via phishing, vol de mots de passe ou insiders corrompus.
Les prix varient de 500 à 1 500 dollars selon la localisation et le niveau d’accès, avec des exemples de ventes visant des institutions au Mexique ou en Algérie.

Ces accès permettent aux attaquants de :

  • Déployer des rançongiciels ou logiciels espions,
  • Voler des données personnelles ou opérationnelles,
  • Lancer des attaques plus larges depuis l’intérieur du réseau.

Mesures recommandées : activation du MFA sur tous les accès distants, rotation régulière des identifiants, surveillance des sessions VPN et transition vers des architectures Zero Trust.

##️ Menace interne : le risque des initiés Les chercheurs alertent également sur la recrudescence de recrutements d’employés publics via des forums clandestins.
Les offres, publiées sur des canaux chiffrés en langue russe, proposent des récompenses financières à des agents de police, personnels IT ou employés administratifs prêts à fournir :

  • des identifiants d’accès,
  • des documents confidentiels,
  • ou des données issues de bases sensibles.

Certains insiders sont motivés par l’appât du gain, d’autres par la coercition ou l’idéologie.
Ce phénomène menace directement la confidentialité des enquêtes, des bases de données policières et des coopérations internationales (Interpol, Europol).

Contre-mesures : mise en place de contrôles comportementaux, vérifications d’antécédents, et formation des employés à la cyberéthique et à la vigilance face à la manipulation.

📧 Comptes email d’administrations en circulation

Autre tendance alarmante : la vente ou la location de comptes email gouvernementaux actifs.
Ces accès permettent d’usurper des identités officielles, de mener des campagnes de phishing crédibles ou de falsifier des processus d’achat public.
Des listes d’adresses et d’identifiants valides circulent sur le dark web et dans des groupes Telegram privés.

Les conséquences : perte de confiance, atteinte à la réputation, fuites de données et parfois fraude financière.

Bonnes pratiques :

  • Activation systématique du MFA sur les messageries,
  • Surveillance des connexions suspectes,
  • Sensibilisation continue au phishing ciblé.

🛡️ Recommandations pour le secteur public

Trustwave préconise une approche “secure by design” et une modernisation des politiques de cybersécurité :

  1. Adopter un cadre reconnu (NIST, CIS, ISO 27001) et implémenter le Zero Trust.
  2. Automatiser la gestion des correctifs et désactiver les services inutiles.
  3. Déployer la supervision 24/7, l’analyse comportementale et les plans de réponse aux incidents.
  4. Renforcer la formation des agents publics, le contrôle des accès et la segmentation réseau.
  5. Élaborer des politiques de dissuasion : interdiction des paiements de rançon, signalement obligatoire des fuites, et coopération internationale accrue.

🧭 En conclusion

Les cyberattaques contre le secteur public se sont multipliées et professionnalisées entre 2020 et 2025.
Les acteurs malveillants exploitent les failles humaines et techniques, ciblant les infrastructures critiques et les services administratifs.
Cependant, une stratégie combinant prévention, détection et résilience peut transformer les institutions publiques en cibles beaucoup plus difficiles à atteindre.

“La cybersécurité n’est plus une option pour le service public — c’est une condition de confiance et de continuité des institutions.”
Trustwave SpiderLabs, octobre 2025

Source : Trustwave SpiderLabs — “D

🧠 TTPs et IOCs détectés

TTPs

Vente d’accès par brokers (VPN/RDP), spear-phishing via comptes gouvernementaux, recrutement d’initiés, vol d’identifiants, brute force, escalade de privilèges, exfiltration de données

IOCs

Aucun IOC spécifique fourni

🔗 Source originale : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/data-in-the-dark-the-public-sector-on-the-dark-web/

🖴 Archive : https://web.archive.org/web/20251016080842/https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/data-in-the-dark-the-public-sector-on-the-dark-web/