Qu’est-ce que le dark web ?

Le dark web abrite des pages web, des canaux de messagerie, des réseaux de partage de fichiers et d’autres services similaires au web normal ou « ouvert ». La différence est que le contenu du dark web réside sur des darknets, des sous-sections anonymes d’internet avec des conditions d’accès particulières. Certains darknets sont accessibles uniquement sur invitation. D’autres sont accessibles avec les paramètres réseau ou les logiciels adéquats, tels que le navigateur Tor. 

L’anonymat est le principal attrait du dark web. Les réseaux du dark web utilisent des méthodes telles que le chiffrement multicouches et le routage indirect pour dissimuler l’identité des utilisateurs. Les personnes qui visitent les sites du dark web et celles qui les hébergent ne peuvent pas être facilement identifiées. 

Les cybercriminels profitent de cet anonymat pour dissimuler leurs activités illégales. Les journalistes, les lanceurs d’alerte et les internautes ordinaires peuvent utiliser le dark web pour éviter d’être suivis par des gouvernements hostiles, des grandes entreprises, des réseaux publicitaires, des algorithmes prédictifs et d’autres regards indiscrets.

Les professionnels de la cybersécurité surveillent également le dark web, qui constitue une source importante de renseignements sur les menaces. Ils peuvent voir ce que font les pirates, se tenir au courant des cibles et des techniques des cyberattaques et suivre les violations de données nouvelles et en cours.  

Bien qu’on associe le dark web à des activités illicites et à des contenus illégaux, le simple fait d’y accéder n’est pas en soi illégal dans de nombreuses juridictions.

Le darknet est l’infrastructure réseau (ordinateurs et autres appareils interconnectés) qui permet d’accéder au contenu du dark web.

Les termes « darknet » et « dark web » sont souvent utilisés comme synonymes, tout comme « internet » et « web » sont utilisés de manière interchangeable. Mais techniquement, internet est un réseau d’appareils connectés et le web est une couche d’informations (sites web, applications et autres services) à laquelle les gens peuvent accéder par l’intermédiaire d’internet. 

La même distinction s’applique au darknet et au dark web. Le darknet est l’infrastructure et le dark web est le contenu accessible via cette infrastructure.

Il existe de nombreux darknets, le réseau Tor étant le plus connu. (Pour plus d’informations, consultez la section « Qu’est-ce que Tor ? ») Parmi les autres darknets figurent l’Invisible Internet Project (I2P) et Hyphanet. 

La plupart des darknets sont des réseaux superposés, des sous-réseaux distincts qui existent au sein d’un réseau plus vaste. Ce réseau plus vaste est, généralement, internet lui-même. 

Mais les darknets sont isolés de l’internet public et les utilisateurs ne peuvent pas y accéder facilement via des navigateurs classiques tels que Google Chrome, Mozilla Firefox ou Microsoft Edge. Les utilisateurs ont besoin d’un logiciel, d’autorisations ou de configurations spéciales pour accéder à un darknet.

De nombreux darknets, tels que Tor, sont gérés par des bénévoles et des organisations à but non lucratif, les personnes faisant gratuitement don de leurs propres machines pour servir de nœuds de réseau. D’autres sont des réseaux décentralisés peer-to-peer ou des réseaux privés sur invitation uniquement.

Un autre élément différencie les darknets d’internet au sens large et d’autres réseaux superposés. Les darknets dissimulent intentionnellement l’identité des utilisateurs grâce au chiffrement multicouches, au routage en oignon et à d’autres méthodes. 

Tor, abréviation de « The Onion Router » (c.-à-d. le routeur en oignon), peut faire référence à un réseau, à un navigateur et à une organisation.

Le navigateur Tor est sans doute le plus populaire des navigateurs du dark web, mais il n’est pas le seul moyen d’accéder au dark web. Le réseau Tor n’est pas non plus le seul réseau à diffuser du contenu sur le dark web. Les gens traitent parfois Tor et le dark web de la même manière, mais Tor est un darknet parmi d’autres.

Cela dit, comprendre le fonctionnement de Tor peut aider à mieux comprendre le fonctionnement du dark web en général.

Le principe clé du réseau Tor est le routage en « oignon », qui permet à Tor de masquer les adresses IP et de garantir l’anonymat des utilisateurs. Développé pour la première fois par le laboratoire de recherche navale américain dans les années 1990, le routage en oignon applique plusieurs couches de chiffrement au trafic. Ces couches donnent à la technique son nom d’« oignon ». 

Au lieu d’acheminer les utilisateurs directement vers leur destination, le routage en oignon les fait d’abord passer par une série de nœuds intermédiaires. Chaque nœud ne peut déchiffrer qu’une seule couche du chiffrement du trafic, de sorte qu’aucun nœud individuel ne connaît le parcours du trafic du début à la fin.  

Même les propriétaires des sites du darknet ignorent d’où viennent leurs visiteurs et ces derniers ignorent où ces sites sont hébergés. 

Le dark web, le deep web et le surface web sont trois parties distinctes du web. Le surface web (web de surface) est ce que les utilisateurs peuvent trouver sur n’importe quel moteur de recherche. Le deep web (web profond) est caché des moteurs de recherche, mais une grande partie de son contenu est accessible par n’importe quel navigateur avec une authentification adéquate. Le contenu du dark web nécessite une configuration particulière.

Le surface web, également appelé web ouvert, est la partie d’internet qui est indexée par les moteurs de recherche classiques, tels que Google et Bing. Réseaux sociaux, vidéos YouTube, blogs publics ou encore fiches produits Amazon sont des exemples de contenu web de surface.

Le surface web est l’une des plus petites parties du web, représentant environ 5 % du contenu sur internet. 

Le web profond est la partie d’internet que les moteurs de recherche n’indexent pas et qui englobe la plupart des contenus web. Le deep web inclut le dark web, mais la majeure partie du deep web est accessible via un navigateur web normal avec des configurations par défaut : sites web protégés par mot de passe, articles de presse payants et bases de données privées.

Bien que le dark web fasse partie du deep web, il s’en distingue par des aspects fondamentaux.

Le dark web est la partie du deep web qui existe sur les darknets. En tant que tel, il n’est accessible que par le biais de navigateurs dark web, de proxys correctement configurés ou d’autres moyens. La plupart des contenus du deep web sont accessibles depuis l’internet ouvert avec les bons identifiants. Le dark web anonymise intentionnellement ses utilisateurs, contrairement au deep web. 

Le dark web ressemble beaucoup au web ouvert : forums de discussion, sites d’actualités, marketplaces et plus encore. Certains sites du surface web, comme Facebook, ont même des versions officielles sur le dark web.

Les sites du dark web sont souvent moins bien équipés que les sites web ouverts, en partie parce que les performances du darknet ont tendance à être moins fiables. Des techniques telles que le routage en oignon préservent l’anonymat, mais au prix d’un ralentissement des connexions. 

« On peut voir le dark web comme un écosystème web alternatif et chaotique », explique Robert Gates, analyste senior en menaces de sécurité chez IBM X-Force. « C’est une version dépouillée des sites d’e-commerce classiques, avec ses propres fiches produits, ses vendeurs et ses systèmes d’évaluation.Il existe même des services d’entiercement et des systèmes de notation, mais ces systèmes sont souvent manipulés par les vendeurs. »

Les sites du dark web ont généralement des URL longues et complexes, ce qui peut les rendre difficiles à mémoriser. Pour naviguer sur le dark web, les utilisateurs se tournent généralement vers les moteurs de recherche du dark web ou vers des listes de liens telles que le Hidden Wiki. 

Les types de sites les plus courants sur le dark web sont les suivants :

Les marketplace du dark web proposent beaucoup de choses à la vente.

• Des logiciels malveillants, tels que les voleurs d’informations, les chargeurs, les chevaux de Troie et les rançongiciels. De nombreux cybercriminels utilisent des logiciels malveillants en tant que service (MaaS). Les gangs MaaS développent et entretiennent des outils et des infrastructures de logiciels malveillants qu’ils vendent à d’autres pirates, appelés « affiliés ». Les affiliés utilisent le logiciel malveillant pour attaquer les victimes, partageant souvent leurs butins avec le gang MaaS. Le ransomware en tant que service (RaaS) est particulièrement populaire. 

• D’autres outils et techniques de cyberattaque, tels que la location de botnets pour les attaques DDoS et les  kits de hameçonnage.

• Des accès. Les courtiers d’accès pénètrent dans les réseaux, généralement en exploitant les vulnérabilités et en installant des portes dérobées, puis vendent ces points d’accès à d’autres cybercriminels.

• Des données telles que des comptes bancaires volés, des coordonnées de cartes de crédit, des identifiants de connexion et d’autres informations sensibles que les criminels peuvent utiliser pour commettre une usurpation d’identité.  

• Des biens illégaux, y compris des faux documents et des stupéfiants.

La plupart des transactions sur le dark web utilisent des cryptomonnaies comme le bitcoin pour préserver l’anonymat des acheteurs et des vendeurs.

Lancée en 2011, Silk Road est largement considérée comme la première et la plus connue marketplace du darknet. En 2013, le FBI l’a saisie et l’a fermée.

Les cybercriminels professionnels et les pirates informatiques amateurs se rassemblent dans des forums du dark web, où ils partagent des conseils, de nouvelles vulnérabilités et des renseignements sur leurs cibles potentielles, et se vantent de leurs réussites.

Les professionnels de la cybersécurité surveillent également ces forums pour se tenir au courant de l’environnement des cybermenaces.

C’est sur les sites de fuite que les pirates informatiques exposent les données qu’ils ont dérobées lors de violations. Les cybercriminels publient des échantillons de ce qu’ils possèdent et demandent aux victimes de payer une rançon, faute de quoi ils divulgueront le reste.

Certains gangs gèrent leurs propres sites de fuites. D’autres ont adopté un modèle appelé « extorsion en tant que service », où de plus grands groupes permettent aux affiliés et aux alliés d’héberger des données volées sur leurs sites. Passer par le site de fuite d’un gang important et influent permet d’accroître la pression sur les victimes pour les forcer à payer.À l’instar des autres services à la demande, ce gang récupère généralement sa part de la rançon au passage.

Les lanceurs d’alertes, qu’il s’agisse de sociétés, d’agences gouvernementales ou d’autres institutions, utilisent souvent les forums du dark web et les services de messagerie pour transmettre anonymement leurs informations au public. 

De même, les journalistes utilisent souvent des services du dark web pour entrer en contact avec des sources qui ont besoin d’anonymat. Les militants peuvent utiliser le dark web pour échapper à la censure et à la surveillance des gouvernements.

D’autres sites du dark web sont beaucoup plus banals. Ce sont des réseaux sociaux, des sites d’actualités et d’autres services classiques qui utilisent le dark web pour aider leurs propriétaires et leurs utilisateurs à éviter d’être suivis.

En l’absence de toute supervision légale ou réglementaire, dans un réseau où tout le monde est anonyme, le dark web fonctionne selon ce que Robert Gates appelle une « économie de la réputation ». Les pirates informatiques et les revendeurs utilisent leurs activités passées pour gagner en crédibilité. Beaucoup de marketplaces intègrent des systèmes d’évaluation et certaines proposent des services d’entiercement pour garantir que les utilisateurs sont payés.

Toutefois, cette économie de la réputation incite également les cybercriminels à mentir à leurs victimes et à se mentir entre eux. Par exemple, ils peuvent prétendre avoir volé des jeux de données plus impressionnants qu’ils ne sont en réalité dans le but de booster leur activité, de mettre la pression sur les victimes ou de paraître plus doués. 

Et avec l’avènement de l’IA générative, ils peuvent rendre leurs mensonges encore plus convaincants en créant de fausses données pour donner l’impression que les violations sont plus importantes qu’elles ne sont. 

« Ils peuvent injecter les documents et les données dont ils disposent dans une IA et lui demander " Développe ce jeu de données pour qu’il ressemble à une collection bien plus vaste ", explique Robert Gates. « Beaucoup de données s’avèrent fausses, mais il est difficile de faire la distinction. » 

Et les cybercriminels n’hésitent pas à s’escroquer les uns les autres. 

« Nous avons vu des cas où les administrateurs d’un forum en particulier mettaient en place une sorte de plan de sortie qui leur permettait d’amasser suffisamment d’argent et de partir », explique Robert Gates. « Le marché ferme et personne ne sait vraiment ce qui s’est passé. »

En raison de ces pratiques douteuses et de ces revirements incessants, le dark web connaît un renouvellement constant de ses acteurs et de ses plateformes. Les sites web et les groupes de cybercriminels apparaissent et disparaissent constamment. En partie parce que les forces de l’ordre les démantèlent, mais souvent parce qu’ils se poignardent dans le dos.

« Les rapports de force ne cessent d’évoluer sur le dark web », explique Robert Gates. « Les affiliés lésés se séparent pour créer leur propre structure. Parfois, c’est une question d’ego ou un conflit interpersonnel qui éclate entre eux. »  

Si l’anonymat est le principal attrait du dark web, il existe des moyens de découvrir l’identité des utilisateurs. Par exemple, en corrélant le trafic envoyé au réseau Tor avec le trafic vers un site particulier en fonction des horodatages, les forces de l’ordre et les professionnels de la sécurité peuvent hypothétiquement déterminer ce que fait cet utilisateur. 

Les nœuds empoisonnés, c’est-à-dire les nœuds compromis d’un réseau qui surveillent secrètement le trafic, peuvent également porter atteinte à l’anonymat. Les utilisateurs peuvent également trahir leur propre identité en configurant mal ou en utilisant de manière inappropriée un navigateur ou un réseau dark web. 

La surveillance du dark web est un composant clé du travail de renseignement sur les menaces. En surveillant les forums et les réseaux sociaux du dark web, les analystes du renseignement sur les menaces peuvent se tenir au courant des derniers logiciels malveillants, des vulnérabilités exploitées et des autres tendances. 

Les professionnels de la cybersécurité peuvent également profiter des retombées des rivalités entre gangs, qui amènent souvent des pirates informatiques à dégrader les sites web des autres, à se vendre les uns les autres ou à divulguer du code source. Par exemple, en février 2025, un gang rival a divulgué le code de la dernière version du célèbre ransomware du groupe Lockbit.

« Cela crée des opportunités pour les défenseurs », explique Robert Gates. « On se retrouve soudainement avec une foule de logiciels d’imitation, mais ceux qui les utilisent maîtrisent souvent moins bien l’OPSEC ou les rouages du malware que les créateurs originaux. Peut-être qu’ils ne l’utilisent pas correctement. » 

Les défenseurs peuvent alors mettre la main sur le code source (ou d’autres informations divulguées) et l’étudier eux-mêmes. 

Surveiller de près le dark web peut également aider les équipes de cybersécurité à identifier les piratages plus rapidement. Plus tôt les entreprises sont informées qu’une faille s’est produite, plus vite elles peuvent agir pour la contenir. Chaque seconde compte, car il faut en moyenne 241 jours pour identifier et contenir une violation, selon le Rapport d’IBM sur le coût d’une violation de données.