Le projet open source développé par spmedia, disponible sur GitHub sous le nom de Threat-Actor-Usernames-Scrape, représente une ressource précieuse pour les acteurs de l’OSINT et les analystes en cybersécurité. Ce dépôt rassemble environ 820 000 noms d’utilisateurs uniques issus de forums de cybercriminels tels que HackForums, DarkForums, BreachForums, et une vingtaine d’autres plateformes, accessibles gratuitement pour la recherche en renseignement de sources ouvertes. La majorité de ces listes permettent d’identifier des pseudos récurrents sur plusieurs forums ou d’élaborer des wordlists ciblées, mais elles restent dans leur forme brute, sans enrichissements contextuels ni analyses approfondies.
Ce projet a été créé en réponse à la dépendance croissante aux services payants de threat intelligence, souvent coûteux, facteur qui limite l’accès à ces données pour de nombreux analystes ou chercheurs indépendants. En proposant ces listes gratuites, spmedia souhaite faciliter la tâche de ceux qui font de l’OSINT, tout en leur rappelant toutefois la nécessité de croiser ces données avec d’autres sources pour une identification plus fiable des cybercriminels. Il est important de souligner que ces listes ne constituent pas des preuves en soi, mais sont plutôt un point de départ pour des investigations plus poussées.
“Ces listes brutes de pseudos ne remplacent pas une analyse complète et doivent toujours être croisées avec d’autres sources pour une identification précise.”
Le contenu de chaque fichier se présente sous une forme simple : un pseudo par ligne, facilement intégrable dans un Threat Intelligence Platform ou dans un SIEM via un simple script ou importation. La collecte s’est concentrée sur des sections telles que “Who’s Online”, différents threads ou encore des extraits de fuites, dans le but de recenser un maximum de pseudos actifs ou potentiellement liés à des activités malveillantes. Parmi les forums les plus prolifiques figurent Cracked.sh, DarkForums.su et Altenen.is, tandis que BreachForums.st, qui n’est plus actif, détient lui aussi un important corpus de noms.
Il est à noter que ce projet a été lancé en réponse à la complaisance ou au coût prohibitif des services CTI traditionnels. La plateforme spmedia justifie ainsi sa démarche par la nécessité d’accéder à des données Open Source, facilement exploitables et gratuites, pour la recherche et le suivi des pseudos des cybercriminels. Toutefois, elle rappelle que ces listes doivent être croisées avec d’autres sources pour éviter les faux positifs, notamment parce qu’une majorité des comptes recensés sont souvent des jeunes ou des curieux, et que certains pseudos peuvent réapparaître sur différents sites sous de nouveaux TLD après des takedowns ou des bannissements.
En définitive, ces listes constituent un outil pratique pour la constitution de wordlists, la détection de pseudos communs ou le suivi des activités suspectes en ligne. Leur utilisation est simple : il suffit d’importer le fichier dans un SIEM ou un script Python, ce qui ne prend que quelques minutes. Il est cependant conseillé d’en faire un usage prudent, toujours en croisant avec d’autres sources d’informations pour éviter de pointer injustement des individus. Pour les amateurs de la chasse aux cybercriminels, cette initiative gratuite de spmedia ouvre des portes intéressantes, à utiliser avec discernement.
