Dans cet article, nous allons nous intéresser à une catégorie de cyberattaquants qui s’est spécialisée dans une étape clé d’une cyberattaque : l’accès initial au système d’information et la persistance.
Nous verrons que la simple volonté de compromettre un système d’information et de s’y implanter durablement peut être motivée uniquement par la revente de ces accès, souvent à des acteurs aux intentions encore plus malveillantes.
Qu’est-ce qu’un access broker ?
Un access broker (ou Initial Access Broker) est un acteur spécialisé de la cybercriminalité dont le rôle est d’infiltrer des systèmes d’information, puis de revendre cet accès non autorisé à d’autres cybercriminels.
Contrairement à ce que l’on peut imaginer, le cyberattaquant qui déploie un ransomware, espionne vos utilisateurs ou publie des leaks de données n’est pas forcément celui qui a compromis le système d’information au départ. Les access brokers ne mènent généralement pas eux-mêmes des attaques destructrices (comme le chiffrement de données ou l’exfiltration massive). Leur valeur réside dans leur capacité à fournir une porte d’entrée à des groupes plus organisés, tels que les groupes de ransomware ou les espions industriels.
Il est en effet très fréquent que des groupes d’acteurs se spécialisent dans l’obtention d’un premier accès (nommée compromission initiale) et l’implantation d’une porte dérobée. Ces accès permettent alors à n’importe qui y disposant de revenir plus tard pour continuer la cyberattaque.
Dès lors, il est important de noter que n’importe qui peut être ciblé, c’est ensuite l’acheteur des accès revendus qui déterminera si vous êtes intéressant pour lui ou non. Par exemple, avez-vous une criticité suffisante pour être impacté par un chiffrement de vos données par un ransomware (souvent, oui), est-ce que votre SI traite des données qui pourraient intéresser des États, des concurrents commerciaux ou simplement dont la publication permettrait de vous rendre vulnérable au chantage ?
Les access brokers revendent les accès à des systèmes d’information au plus offrant, c’est leur business.
Les access brokers exploitent diverses techniques pour compromettre leurs cibles :
Exploitation de vulnérabilités non corrigées (CVE) dans des services exposés (RDP, VPN, applications web).
Attaques par force brute sur des comptes faibles ou par défaut.
Phishing et vol d’identifiants via des malwares ou des campagnes ciblées.
Achat de données déjà compromises sur des marchés illicites
Une fois l’accès obtenu, l’access broker va les valider et les qualifier : il vérifie les permissions du compte obtenu, valide la possibilité de mouvement latéral dans le réseau et met en place une persistance de l’accès (backdoors, tâches planifiées). Il publie ensuite des annonces détaillées sur le dark web, précisant le type d’accès (RDP, VPN, etc.), le secteur d’activité de la victime, son chiffre d’affaires, et parfois des preuves visuelles (captures d’écran, structures de fichiers) pour rassurer les acheteurs.
Parfois, les access brokers se contentent simplement de récupérer des identifiants provenant de fuites de données, puis de les tester sur différentes cibles. Ils obtiennent alors sans effort un accès à un système et n’ont qu’à le revendre.
Pourquoi sont-ils dangereux ?
Les Access Broker sont particulièrement dangereux et font totalement partie de l’économie des ransomware et du monde cybercriminel. Ils sont notamment redoutables, car spécialisés sur seulement quelques étapes de la CyberKillChain, qu’ils exécutent souvent en masse, de manière automatisée et en étant donc très efficaces.
Ils alimentent directement les groupes de ransomware (RaaS) ou d’espionnage, qui n’ont plus besoin de perdre du temps à infiltrer eux-mêmes les réseaux. Ils sont notamment difficiles à identifier, car ce ne sont pas eux qui font le gros du travail ou laissent des traces au moment de la partie “visible” de la cyberattaque (ransomware, destruction). Il est donc souvent difficile de voir quand ils ont obtenu et validé les accès qui ont été revendus.
Enfin, ces groupes spécialisés sont de plus en plus organisés, avec des annonces standardisées, des garanties de qualité, des ventes aux enchères et des plateformes dédiées, comme sur un marché légitime.
Je vous recommande notamment de consulter ces deux liens qui font clairement intervenir des Access Brokers :
Cet article détaille le mode opératoire de cyberattaquants lors du déploiement du ransomware Lynx. L’accès initial via RDP est décrit comme étant obtenu via un Access Broker :
Source : thedfirreport.com/2025/11/17/cats-got-your-files-lynx-ransomware/
Cette investigation de l’Unit42 de Palo Alto décrit le mode opératoire du groupe Medusa, qui fait également intervenir des accès initiaux obtenus via Access Broker :
Source : https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/
L’obtention d’un accès valide à une cible via un Access Broker fait l’objet d’un TTP dédié du MITRE ATT&CK. Vous trouverez sur ce lien différents exemples de méthodologie et de groupes ayant fait appel à des access brokers (MITRE ATT&CK – T1650: Acquire Access) :
Source : attack.mitre.org/techniques/T1650/
Se protéger des access brokers est difficile, d’une part à cause de leur côté opportuniste (n’importe qui peut être ciblé), mais aussi à cause de leur discrétion. Dans bien des cas, ceux-ci ne font que tester et valider un accès, sans utiliser d’outils offensifs verbeux, sans causer d’impact sérieux sur le SI (chiffrement, destruction, exfiltration).
Les éléments principaux à cibler dans le cadre de cette protection sont :
👉 La surface d’attaque externe de votre SI
Celle-ci doit être la plus réduite et maitrisée possible afin de laisser peu d’opportunités d’intrusion à l’attaquant (service obsolète, impactés par une zero-day, mal configurés). Ce point fait également intervenir l’application systématique des patchs de sécurité, surtout sur les services exposés (RDP, VPN).
Je vous invite à consulter ces articles qui rappellent ce qu’est la surface d’attaque et sa protection :
👉 Authentification renforcée
L’utilisation du MFA (Multi-Factor Authentication) sur vos accès externes permet de bloquer un attaquant même s’il est en possession d’un mot de passe valide. La coupler à une politique de mot de passe robuste et à un changement périodique des mots de passe permet de réduire les chances de compromission d’un accès ou d’être alerté au plus tôt en cas d’accès suspect.
Certains pare-feu ou solutions Cloud permettent également de mettre en place des accès conditionnels, qui permettent par exemple d’interdire tout accès en dehors d’un certain pays, d’une plage horaire précise, etc. Ces éléments permettent aussi de limiter les capacités des attaquants possédant des comptes revendus.
👉 Surveillance proactive
La surveillance de la surface d’attaque externe, de l’activité des comptes utilisateurs et des systèmes jour un rôle important dans la capacité d’une équipe de sécurité à détecter des comportements anormaux. Cette surveillance, complexe à mettre en place, permet si elle est efficace de détecter un accès compromis ou l’utilisation d’un accès compromis pour réaliser des opérations malveillantes, limitant ainsi les capacités de l’attaquant.
À ce sujet nous vous parlions il y a quelques semaines du principe de l’ITDR (Identity Threat Detection and Response) sur IT-Connect :
Cette surveillance proactive peut aussi passer par l’utilisation de solutions ou de prestations de surveillance du Dark Web ou des leaks de données afin de détecter au plus tôt des accès en vente concernant votre système d’information.
Conclusion
En résumé, les access brokers jouent un rôle clé dans l’économie souterraine de la cybercriminalité en infiltrant des systèmes d’information pour revendre ces accès à des acteurs plus organisés, tels que les groupes de ransomware ou d’espionnage. Leur discrétion et leur spécialisation sur des étapes précises de la cyberattaque en font des acteurs particulièrement dangereux, difficiles à détecter.
La protection contre ces menaces repose sur la réduction de la surface d’attaque, le renforcement des mécanismes d’authentification, et une surveillance proactive des activités suspectes.
N’hésitez pas à nous partager vos expériences dans les commentaires au sujet de ces groupes de cybercriminels.
Co-fondateur d’IT-Connect.fr.
Auditeur/Pentester chez Orange Cyberdéfense.