La plupart des gens ont déjà entendu parler du « dark web », mais rares sont ceux qui comprennent à quoi il ressemble réellement ou ce qui s'y passe. Afin de faire la part des choses entre réalité et fiction, notre équipe de recherche a passé 48 heures à l'explorer de ses propres yeux et à consigner ses découvertes.
Le dark web n’est pas mauvais en soi. Il sert également des fins légitimes, en offrant une protection de la vie privée aux journalistes, aux lanceurs d’alerte, aux militants et à toutes les personnes qui ont besoin de communiquer de manière anonyme. Pour y accéder, il faut généralement utiliser le navigateur Tor, et plusieurs organisations réputées gèrent des sites officiels sur le dark web. Par exemple, le site d’actualités de la BBC est accessible via l’adresse Tor suivante : http://bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion
Mais parallèlement à ces utilisations légitimes, il existe un écosystème criminel en plein essor.
Nous avons découvert une économie souterraine organisée et dynamique, qui fonctionne d’une manière que la plupart des gens ne peuvent même pas imaginer. Les cybercriminels ne travaillent pas seuls. Ils se réunissent sur des forums clandestins dédiés à la cybercriminalité, où ils discutent des nouvelles méthodes d’attaque, échangent des techniques et collaborent pour trouver des moyens de cibler des victimes partout dans le monde.
Considérez cela moins comme une ruelle sombre que comme un réseau professionnel de cybercriminels.
Au-delà de ces forums, nous avons découvert des places de marché spécialisées dans la cybercriminalité. Celles-ci fonctionnent comme des boutiques en ligne où hackers les fraudeurs peuvent acheter et vendre toute une gamme de biens numériques compromis, allant des identifiants de compte volés aux outils de piratage, le tout de manière anonyme grâce aux cryptomonnaies.
Anecdote : bon nombre de ces places de marché portent le nom de personnalités publiques célèbres, dont le président américain Donald Trump.
Le guide du Dark Web
Les cybercriminels viennent des quatre coins du monde et, comme toute communauté internationale, ils ont besoin d'un moyen de se retrouver. C'est là que les forums de liens entrent en jeu.
Les « link boards » sont des répertoires qui regroupent des centaines de forums et de places de marché clandestins. Classés par langue, ils font office de boussole sur le dark web.
Un cybercriminel peut évoluer au sein d'une communauté où l'on parle sa langue maternelle ou rejoindre des forums anglophones plus importants qui attirent un public international.
Cependant, tous les forums n’ont pas le même poids. En 2026, la communauté se concentre principalement autour de plateformes dominantes telles que BreachForums et DarkForums. Des forums en russe plus exclusifs, comme Exploit et XSS, ont tendance à attirer certains des cybercriminels les plus sophistiqués de la scène clandestine.
Données compromises : vos informations sont peut-être déjà accessibles au grand public
La plupart des gens n'ont aucune idée de la quantité de leurs données personnelles qui circule déjà sur le dark web. Dans de nombreux cas, la première difficulté consiste simplement à savoir si vos données ont été exposées. Vous pouvez vérifier les vôtres ici.
Pour saisir l'ampleur du problème, il est utile de comparer ce qui est de notoriété publique avec ce que nous avons découvert en creusant un peu plus loin.
Les violations rendues publiques ne représentent qu'une partie du problème. Depuis le début de l'année 2026, Malwarebytes ont identifié plus de 7 500 ensembles de données compromis contenant plus de 8,4 milliards d'enregistrements. Il s'agit notamment de données volées lors de violations, collectées dans le cadre de campagnes d'hameçonnage, extraites de services en ligne et exposées en raison de systèmes mal configurés.
Parmi les organisations touchées figurent des noms connus de tous, tels que SoundCloud, ADT, Hallmark, Amtrak, Vimeo et Instagram.
Mais aussi significatifs que soient ces chiffres, ils ne reflètent qu'une partie de la réalité.
En examinant la section « bases de données » de DarkForums, l’une des plateformes les plus actives du marché noir, nous avons recensé 63 pages d’annonces publiées depuis le début de l’année 2026. À raison de 20 annonces par page, cela représente plus de 1 200 fuites de données de petite et moyenne envergure, dont la plupart n’ont jamais fait la une des médias.
La situation était similaire sur BreachForums. Depuis le début de l'année, la plateforme a accumulé 37 pages de listes de bases de données, chacune contenant 20 entrées, ajoutant ainsi plus de 700 bases de données compromises supplémentaires au volume déjà colossal de données volées.
En résumé, les violations de données rendues publiques ne constituent que la partie émergée de l'iceberg. Une grande partie des données personnelles volées et échangées en ligne change de mains discrètement, à l'abri des regards.
Des identités américaines à vendre
L’une des marchandises les plus recherchées sur le marché noir de la cybercriminalité est ce que hackers un « fullz » : un ensemble complet d’informations d’identité concernant une personne réelle. En 2026, les identités américaines restent particulièrement prisées en raison de l’infrastructure financière du pays, des limites de crédit élevées et du large éventail de services pouvant être exploités à des fins de fraude.
Un ensemble de données « fullz » type comprend le nom complet, le numéro de sécurité sociale (SSN), la date de naissance, l’adresse et d’autres informations personnelles. Entre de mauvaises mains, ces informations constituent une boîte à outils toute prête pour l’usurpation d’identité. Elles permettent aux cybercriminels d’ouvrir des comptes de crédit frauduleux, de déposer de fausses déclarations d’impôts, d’accéder à des comptes financiers, voire de bénéficier de prestations médicales sous le nom d’une autre personne.
Ce qui rend les « fullz » particulièrement dangereux, c'est que les victimes ne se rendent souvent compte que leur identité a été compromise que bien après que le mal a été fait. Parfois, cela se produit des mois, voire des années plus tard, lorsque des agents de recouvrement les contactent ou qu'une demande de crédit est refusée de manière inattendue.
Il n’est pas surprenant que les États-Unis restent l’un des pays les plus visés par les usurpateurs d’identité. Plus de 1,15 million de cas d’usurpation d’identité ont été signalés à la Commission fédérale du commerce (FTC) rien qu’au cours des trois premiers trimestres de 2025, un chiffre qui dépasse déjà le nombre total de cas signalés sur l’ensemble de l’année 2024.
Au cours de nos recherches, nous sommes tombés sur 9-Digits Market, l'une des nombreuses places de marché du dark web spécialisées dans la vente de données d'identité volées. Ce qui nous a frappés, c'est le prix. Un profil d'identité américain complet était proposé à partir de seulement 0,95 $.
Pour moins cher qu'un café, un cybercriminel peut acheter suffisamment d'informations pour ruiner la situation financière d'une personne.
Comment les cybercriminels utilisent des logiciels malveillants pour s'attaquer à votre ordinateur
Les fuites de données ne sont pas le seul moyen par lequel vos informations personnelles peuvent se retrouver sur le dark web. Parfois, la source est bien plus proche : votre propre ordinateur. Au cours de notre exploration du dark web, nous avons rencontré les développeurs à l’origine d’une catégorie particulièrement dangereuse de logiciels malveillants appelés « infostealers », ou simplement « stealers ». Le principe est simple, ce qui explique en partie son efficacité.
Une fois installé, un logiciel de vol d'informations recherche discrètement sur l'appareil tout ce qui pourrait présenter de la valeur. Il peut s'agir notamment des identifiants et mots de passe enregistrés, des données de remplissage automatique, des informations de paiement stockées, des portefeuilles de cryptomonnaies et d'autres informations sensibles. Ces données volées sont ensuite transmises au pirate.
Vous trouverez ci-dessous un aperçu du panneau de contrôle du logiciel malveillant STORM, qui a compromis un ordinateur situé aux États-Unis et a dérobé 87 combinaisons nom d'utilisateur/mot de passe sur cet appareil.
Ce qui est peut-être le plus inquiétant, c’est à quel point ce type de logiciel malveillant est désormais accessible. En 2026, tout cybercriminel en herbe pourra louer un logiciel de vol d’informations sous forme d’abonnement, sans avoir besoin de grandes connaissances techniques ni d’investissement financier important. La cybercriminalité en tant que service a considérablement abaissé le seuil d’accès à cette activité.
Les données volées sont ensuite vendues ou divulguées sur des forums et des places de marché clandestines. Nous avons été stupéfaits par l'ampleur du phénomène.
Chaque jour, des millions d'identifiants volés sont échangés sur ces plateformes. Derrière chacune de ces lignes se cache une personne bien réelle, qui ignore totalement que sa vie numérique est mise à nu et échangée comme une marchandise.
Faux investissements et escroqueries liées aux cryptomonnaies
La cybercriminalité ne se résume pas toujours au vol de mots de passe ou à la fuite de bases de données. Certains cybercriminels visent des gains bien plus lucratifs grâce à des escroqueries d’ingénierie sociale minutieusement planifiées. L’un des exemples les plus sophistiqués et les plus préjudiciables que nous ayons rencontrés est celui des escroqueries liées aux investissements dans les cryptomonnaies, également connues sous le nom de « pig butchering ».
La stratégie qui se cache derrière est extrêmement efficace. Les malfaiteurs consacrent beaucoup de temps et d'efforts à nouer ce qui semble être une véritable relation avec leur victime via des applications de rencontre, les réseaux sociaux ou des plateformes de messagerie.
Ils se montrent patients, aimables et convaincants, gagnant peu à peu la confiance de leur victime au fil des jours, voire des semaines. Ce n’est qu’une fois cette confiance établie qu’ils lui proposent ce qui semble être une opportunité d’investissement alléchante. Lorsque la victime se rend compte que quelque chose ne va pas, son argent a déjà disparu et la personne en qui elle avait confiance s’est volatilisée sans laisser de traces.
Au cours de nos recherches, nous avons constaté l'existence d'une opération de fraude cryptographique à grande échelle, déjà pleinement opérationnelle, qui cible de nouvelles victimes à l'aide de fausses plateformes d'investissement sophistiquées et haut de gamme, spécialement conçues pour maintenir les victimes sous son emprise pendant de longues périodes.
L'opération proposait :
- Documentation complète, scripts et éléments renforçant la crédibilité. Tout ce qu'il faut pour paraître légitime dès le premier jour.
- Des guides de communication et des manuels d'ingénierie sociale soigneusement élaborés, conçus pour exercer une pression psychologique sur les victimes afin qu'elles atteignent la limite de leurs cartes de crédit, contractent des emprunts et investissent sans cesse davantage d'argent.
- Des équipes de développement internes qui créent de fausses plateformes de trading imitant fidèlement des services d'investissement légitimes.
Nos chercheurs ont également réussi à accéder à l'une de ces plateformes frauduleuses, et nous avons été surpris par leur niveau de sophistication.
Il ne s'agit pas d'opérations menées par des amateurs. Ce sont des organisations criminelles disposant de moyens financiers importants et gérées de manière professionnelle, qui font de la tromperie leur métier.
En seulement 48 heures, nous avons mis au jour des usurpations d'identité, des logiciels malveillants proposés à la location, des mots de passe divulgués et des opérations de fraude à grande échelle. La plupart des gens ne se rendront jamais sur le dark web, mais ses répercussions peuvent tout de même les toucher par le biais de fuites de données, d'infections par des logiciels malveillants et d'escroqueries.
Malwarebytes vous protéger contre chacune de ces menaces. Notre service de surveillance des fuites de données vous alerte si vos informations personnelles apparaissent dans une fuite connue. Theft Identity surveille vos informations sensibles, notamment votre numéro de Sécurité sociale, tandis que Scam Guard utilise une technologie de détection basée sur l'intelligence artificielle pour identifier les SMS, e-mails, liens et numéros de téléphone suspects avant qu'ils ne puissent causer du tort.
Le dark web prospère grâce aux informations volées. Savoir à quel moment vos données sont exposées est la première étape pour garder une longueur d'avance.
