Pourquoi peut-on dater certains dumps… et pas d’autres ?
ump — Un mot de passe pourri recent 2026-02-20 · Voir sur Substack ↗
Tous les dumps ne sont pas datables. Un log infostealer ≠ une liste ULP. L'un contient des timestamps machine, l'autre circule depuis peut-être 10 ans sans qu'on le sache. Ça change tout en réponse à incident. https://unmotdepassepourri.substack.com/p/pourquoi-peut-on-dater-certains-dumps
1/ Quand des identifiants circulent sur Telegram ou le dark web, la question est toujours la même : "Ça date de quand ?" La réponse dépend entièrement du type de fuite. Tous les dumps ne se valent pas techniquement.
2/ Un "PC dump" issu d'infostealer (RedLine, Lumma, Vidar) contient bien plus que des identifiants : fichiers navigateur, cookies, tokens, wallets crypto, screenshots, infos système. C'est un snapshot complet de la machine.
3/ Ces dumps sont datables parce qu'ils contiennent des métadonnées temporelles : timestamp du ZIP, date d'infection visible dans le panel botnet, horodatage des cookies, timestamps SQLite. On peut situer l'événement dans une fenêtre crédible.
4/ À l'inverse, une liste ULP (User/Login/Password) est juste un fichier texte : email:password. Zéro contexte. Pas de timestamp, pas de machine source, pas de trace d'origine. Impossible de savoir si ça date de 3 mois ou de 5 ans.
5/ Ces listes peuvent être issues d'un vieux leak public, mélangées avec des logs récents, recyclées pendant des années. Certaines "combo lists" circulent depuis 10 ans, enrichies progressivement. On ne peut pas les dater honnêtement.
6/ La confusion est fréquente côté client : "J'ai été trouvé dans un dump". Mais techniquement, un log infostealer = événement machine datable. Une ULP list = agrégat souvent intemporel. La différence est majeure en réponse à incident.
7/ Si c'est un PC dump récent : probable compromission réelle, analyse poste nécessaire, rotation complète des secrets. Si c'est une ULP non datable : mesures préventives, rotation ciblée, MFA. Le niveau d'urgence n'est pas le même.
8/ On peut dater un dump quand il contient des artefacts techniques exploitables. On ne peut pas dater une simple liste sans contexte. Essentiel pour éviter la panique inutile… ou la sous-estimation d'un incident réel. https://unmotdepassepourri.substack.com/p/pourquoi-peut-on-dater-certains-dumps
Les combo lists qu'on voit passer sur Telegram circulent parfois depuis 10 ans. Enrichies, mélangées, recyclées. Quand un client me demande "ça date de quand ?", je ne peux pas répondre honnêtement. Parce qu'il n'y a aucun timestamp. Juste de l'agrégat.
Un log infostealer contient des timestamps machine exploitables. Une liste ULP, c'est du texte brut sans contexte. Traiter les deux pareil en réponse à incident, c'est soit paniquer pour rien, soit sous-estimer une compromission réelle.
La plupart des "fuites" qu'on vous vend comme récentes sont en fait des combo lists recyclées depuis 5 ans. Pas de timestamp = pas de date fiable. Mais personne ne veut l'admettre parce que ça tue le business de la veille sur le dark web.