La méthode

Sources

Telegram : le royaume des cybercriminels

1. Choix de Telegram comme terrain d’enquête

Lorsque nous nous sommes intéressés au vol et à la revente de données personnelles, nous avons constaté que Telegram occupait une place centrale dans cette économie. La messagerie sert à la fois de vitrine pour des groupes de hackers et de lieu d’échange direct entre cybercriminels. De nombreux forums cybercriminels présents sur le Clear ou le Dark Web ont, par exemple, leurs propres groupes et chaînes Telegram.

De plus, en discutant avec de nombreux spécialistes du sujet, il apparaît que Telegram occupe une place de premier plan dans la cybercriminalité contemporaine. Pourtant, la cybercriminalité n’est pas explicitement mentionnée dans le rapport de modération publié par Telegram : https://telegram.org/moderation.

2. Dispositif d’enquête et mesures de protection

L’enquête a été conduite à partir de trois comptes Telegram, dont deux comptes sous fausses identités. Un troisième compte, sous notre véritable identité de journaliste, a été utilisé pour contacter certains cybercriminels, leur proposer des interviews ou leur poser des questions précises.

3. Organisation de l’écosystème cybercriminel sur Telegram

L’écosystème observé s’articule autour de trois structures complémentaires :

– des chaînes d’annonces, dédiées à un produit ou un service. Les cybercriminels s’en servent pour annoncer les dernières mises à jour de leurs logiciels malveillants, publier des démonstrations de leurs services ou diffuser des avis de clients satisfaits. Seul le propriétaire de la chaîne peut s’y exprimer ;

– des groupes de discussion, souvent liés aux chaînes d’annonces. Dans ces groupes, les membres peuvent s’exprimer librement : certains cybercriminels demandent des conseils, règlent leurs différends ou font la publicité de leurs services et de leurs propres groupes ;

– des bots, utilisés pour automatiser certaines activités, comme la réception de données volées via de faux sites Internet ou la mise en place de boutiques permettant d’acheter des documents d’identité.

4. Recherche et compréhension des contenus

L’enquête a nécessité le déchiffrement d’un vocabulaire spécifique, indispensable pour effectuer des recherches ciblées. Ce vocabulaire a été analysé à partir :

– d’échanges directs avec des cybercriminels, qui expliquaient certains termes techniques ;
– de requêtes adressées à des modèles de langage (LLM), afin de comprendre les usages et anglicismes employés par les cybercriminels, notamment russophones ;
– d’échanges avec des experts, qui ont contribué à la compréhension de nos observations et donné accès à des résultats issus de leurs propres recherches ;
– de travaux de traduction.

Une fois ce vocabulaire compris et maîtrisé, il devenait beaucoup plus aisé de s’infiltrer dans ces réseaux cybercriminels. Par exemple, pour pénétrer des groupes d’appels où des fraudeurs contactent des victimes en direct, il était nécessaire de maîtriser le langage propre à cet écosystème, comme « floko », « rez », « CC » ou « no VBV ».

Enfin, les éléments observés ont été systématiquement vérifiés, soit par des demandes de preuves adressées aux cybercriminels, soit par des recoupements impliquant le contact de victimes potentielles dont l’identité apparaissait sur ces chaînes Telegram. Ces vérifications ont permis d’établir si les cybercriminels disposaient effectivement des données qu’ils proposaient à la vente.

Sources

Articles d’analyse et blogs spécialisés

DeepStrike – Dark Web & Telegram: The New Cybercrime Marketplace (2024)
https://deepstrike.io/blog/dark-web-telegram
AMPCUS Cyber – Telegram’s Dark Side: Messaging App Turned Cybercrime Market (2024)
https://www.ampcuscyber.com/blogs/telegram-dark-side-messaging-app-turned-cybercrime-market/
Flare – The Underground’s Favorite Messenger: Telegram’s Reign Continues (2024)
https://flare.io/fr/en-apprendre/num%C3%A9riques/blog/the-undergrounds-favorite-messenger-telegrams-reign-continues/
HexaTrust – Fuites de données et cybercriminalité – INCYBER / FIEU 2025 (Rapport)
https://www.hexatrust.com/wp-content/uploads/2025/03/FIEU25_INCYBER_Fuites-Donnees-4.pdf
Financial Express – Telegram use by cybercriminals surges 53% in 2024 (2024)
https://www.financialexpress.com/life/technology-telegram-use-by-cybercriminals-surges-53-in-2024-says-report-3540633/
Trend Micro – Your Stolen Data for Sale https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/your-stolen-data-for-sale
Cybersecurity Ventures – Cybercrime Costs Report (2023)
https://cybersecurityventures.com/wp-content/uploads/2023/11/CybersecurityCost.pdf
Cybersecurity Ventures – 2026 Cybersecurity Market Report – Predictions and Statistics
https://cybersecurityventures.com/official-2026-cybersecurity-market-report-predictions-and-statistics/
S2W Blog – Detailed Analysis of the Stealer + Traffer Ecosystem https://medium.com/s2wblog/detailed-analysis-of-the-stealer-traffer-ecosystem-40ba805e1bca
SEKOIA.IO Blog – Traffers: A Deep Dive into the Information Stealer Ecosystem https://blog.sekoia.io/traffers-a-deep-dive-into-the-information-stealer-ecosystem/
TechOwlShield – Stealer Logs: What They Are & How They’re Used https://www.techowlshield.com/blog-detail.php?slug=stealer+log
SLCYBER.IO – Cybercrime on Telegram: Bank Logs, Fullz, Bypassing MFA & Cashing Out https://slcyber.io/cybercrime-on-telegram-bank-logs-and-fullz-bypassing-mfa-and-cashing-out/
SLCYBER.IO – Cybercrime on Telegram: Scams, Illegal Commodities and Phishing Sites for Sale https://slcyber.io/cybercrime-on-telegram-scams-illegal-commodities-and-phishing-sites-for-sale/
SLCYBER.IO – Cybercrime on Telegram: A Connection to the Dark Web https://slcyber.io/cybercrime-on-telegram-a-connection-to-the-dark-web/

Presse généraliste et enquêtes judiciaires (France)

À Paris, le procès de deux prévenus illustre la petite cybercriminalité sur Telegram (30 août 2024)
https://www.lemonde.fr/pixels/article/2024/08/30/a-paris-le-proces-de-deux-prevenus-illustre-la-petite-cybercriminalite-qui-sevit-sur-telegram_6299447_4408996.html
Les données personnelles des Français de plus en plus piratées en ligne (29 avril 2025)
https://www.lemonde.fr/pixels/article/2025/04/29/les-donnees-personnelles-des-francais-de-plus-en-plus-piratees-en-ligne_6601155_4408996.html
France Travail victime d’une cyberattaque : 43 millions de personnes concernées (13 mars 2024)
https://www.lemonde.fr/pixels/article/2024/03/13/france-travail-victime-d-une-cyberattaque-les-donnees-de-43-millions-de-personnes-menacees_6221831_4408996.html

Next.ink – En France, le niveau de risque des cybermenaces est particulièrement élevé (2024)
https://next.ink/175401/en-france-le-niveau-de-risque-des-cybermenaces-est-particulierement-eleve/
ZATAZ – Look Up Pirates : coulisses des fuites françaises (2024)
https://www.zataz.com/look-up-pirates-coulisses-des-fuites-francaises/
Ouest-France – Un inquiétant vol de données touche la Fédération française de tir (2024)
https://www.ouest-france.fr/sport/tir/un-inquietant-vol-de-donnees-touche-la-federation-francaise-de-tir-sportif-c2dedbde-b0ab-11f0-a3b8-6cf5a651f4ac
Libération – Fuite de données chez Free : que risquent les clients dont les IBAN ont été piratés ? https://www.liberation.fr/economie/economie-numerique/fuite-de-donnees-chez-free-que-risquent-les-clients-dont-les-iban-ont-ete-pirates-20241028_BCJLHCCY3VCG3GGJKJVHMHJSL4/
Libération – Hammeçonnage, scammers, spoofing, allôteurs : le nouvel âge des arnaques au téléphone https://www.liberation.fr/societe/hammeconnage-scammers-spoofing-alloteurs-le-nouvel-age-des-arnaques-au-telephone-20240129_B7U7KXVGDVHNHDIPSLKRY2PJHY/
404 Media – Inside the Massive Crime Industry That is Hacking Billion-Dollar Companies https://www.404media.co/inside-the-massive-crime-industry-that-is-hacking-billion-dollar-companies-copy-2/

Sources institutionnelles et gouvernementales

France

Cybermalveillance.gouv.fr – Violation de données personnelles – FFTir (2025)
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-fftir-202511
CERT-FR (ANSSI) – Panorama de la cybermenace – CERTFR-2025-CTI-003 (2025)
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-003.pdf
Tribunal judiciaire de Paris – Communiqué de presse : Mise en examen de Pavel Durov (28 août 2024) https://www.tribunal-de-paris.justice.fr/sites/default/files/2024-08/2024-08-28%20-%20CP%20TELEGRAM%20mise%20en%20examen.pdf

International

Europol – Cybercrime-as-a-Service takedown : 7 arrested https://www.europol.europa.eu/media-press/newsroom/news/cybercrime-service-takedown-7-arrested
Europol – Steal, Deal, Repeat – IOCTA 2025
https://www.europol.europa.eu/cms/sites/default/files/documents/Steal-deal-repeat-IOCTA_2025.pdf
FBI – IC3 – 2024 Internet Crime Report
https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf
World Bank – A Review of the Economic Costs of Cyber Incidents (2024) https://documents1.worldbank.org/curated/en/099092324164536687/pdf/P17876919ffee4079180e81701969ad0a18.pdf
Van Loosen, Mels – Telegram as a New Cybercrime Marketplace (Mémoire de master, Eindhoven University of Technology, 2024) https://pure.tue.nl/ws/portalfiles/portal/351957529/Loosen_M.pdf

Contenu audiovisuel

Hudson Rock - Enregistrement d’une conférence donnée par Leonid Rozenberg, ingénieur des ventes chez Hudson Rock, concernant les “infostealers”
https://www.youtube.com/watch?v=MQb_G0dqVVY
John Hammond - YouTubeur spécialisé en cybersécurité, a fait plusieurs vidéos très intéressantes sur la cybercriminalité et Telegram :
- Telegram Cybercrime is INSANE https://www.youtube.com/watch?v=x4z_lNqTHJY
- Tracking Cybercrime on Telegram https://www.youtube.com/watch?v=_GD5mPN_URM
- they're selling WHAT on Telegram?!? https://www.youtube.com/watch?v=twT-vukDZio

Outils techniques, pédagogiques et de prévention

Leak Lookup – Recherche de données fuitées
https://leak-lookup.com/
Un outil qui permet de vérifier si des identifiants ou données personnelles ont été exposés dans des fuites, renforçant la sensibilisation à la prévention.
Ransomware.live – Suivi des attaques ransomware en temps réel
https://www.ransomware.live/
Un tableau de bord interactif développé par Julien Mousqueton montrant les incidents de rançongiciels (ransomware) dans le monde en temps réel avec API gratuite.
Have I Been Pwned – Vérification de compromission des comptes
https://haveibeenpwned.com/
Un service permettant à chacun de vérifier si une adresse e-mail a été compromise dans une fuite, outil clé de sensibilisation à la cybersécurité personnelle.
Infostealers.com – Ressources sur les voleurs d’informations créée par Hudson Rock
https://www.infostealers.com/
Site développé par Hudson Rock, entreprise spécialisée dans l’étude des infostealers (logiciels de vol d’informations). On y trouve de nombreuses ressources sur le sujet des stealers détaillant les familles, vecteurs et méthodes utilisés avec des outils gratuits, parmi eux un bot Telegram qui permet de voir si nos données ont été compromises.
VirusTotal – Plateforme d’analyse de fichiers et d’URL pour y détecter la présence d’un virus https://www.virustotal.com/gui/home/upload
BonjourLaFuite.eu.org – Plateforme de suivi des fuites de données, utilisée notamment pour vérifier que les bases de données en vente sur Telegram étaient potentiellement de vraies bases de données issues de vraies attaques https://bonjourlafuite.eu.org/

02 mars 2026