Quand des données sont volées, elles ne disparaissent pas dans un trou noir. Elles circulent. Elles sont triees, revendues, echangees, parfois enrichies, puis réutilisées dans des fraudes, du chantage ou des attaques plus larges. Comprendre cette chaine est essentiel pour mesurer le danger reel du dark web.
1. Tout commence rarement sur le dark web
Le vol de données commence souvent ailleurs:
- email d'hameconnage
- mot de passe reutilise
- ordinateur infecte
- site ou VPN mal protégés
- base de données exposee
- prestataire compromis
Une fois l'acces obtenu, l'attaquant copie les informations utiles: identifiants, documents, journaux, bases clients, pieces d'identite, données bancaires, archives internes.
2. La phase d'exfiltration
Exfiltrer, c'est sortir discretement les données du systeme vise. Techniquement, cela peut passer par des archives compressees, des connexions chiffre es, des depots temporaires sur des serveurs externes ou des tunnels reseau masques. A ce stade, la victime ne se rend pas toujours compte de la fuite.
3. La mise en paquet et la qualification
Les données volées sont ensuite organisees. Les cybercriminels trient ce qui a de la valeur:
- identifiants valides
- cartes ou comptes financiers
- documents d'identite
- archives RH
- preuves sensibles pour le chantage
- acces administrateur réutilisables
Cette qualification est importante: toutes les données ne se vendent pas au meme prix, ni au meme acheteur.
4. Les circuits de circulation
Le dark web n'est pas le seul espace de circulation, mais il joue un role dans l'anonymat et la mise en relation. On y trouve notamment:
- des forums clandestins
- des canaux prives sur des messageries chiffre es
- des places de marche illicites
- des sites de fuite et de publication
- des courtiers en acces initial
Un meme lot peut etre vendu plusieurs fois: a des fraudeurs, a des groupes de ransomware, a des reseaux d'usurpation d'identite ou a des intermediaires qui feront encore d'autres ventes.
5. Pourquoi ces données gardent de la valeur
Parce qu'elles se combinent. Une adresse email seule vaut peu. Mais associee a un mot de passe, un numero de telephone, un nom complet et des habitudes d'usage, elle devient une piece d'une chaine de fraude plus rentable. Les criminels savent croiser les fuites.
6. Les usages criminels les plus frequents
- prise de controle de comptes
- fraude bancaire ou commerciale
- business email compromise
- usurpation d'identite
- chantage et extorsion
- preparation d'attaques contre d'autres cibles
7. Ce que cela change pour une institution
Une fuite ne s'arrete pas au jour de l'incident. Elle ouvre une periode de vulnérabilité prolongee. Des comptes peuvent etre attaques des semaines plus tard. Des agents peuvent etre cibles personnellement. Des documents peuvent reapparaitre pendant un marche, une election, une crise ou un conflit administratif.
8. Pourquoi la surveillance externe est devenue indispensable
Attendre que la victime decouvre seule la fuite est souvent trop tardif. Les organisations serieuses surveillent aussi les signaux exterieurs:
- mention de leur nom sur des forums
- publication de lots de donnees
- mise en vente d'acces
- partage d'identifiants ou d'archives
Cette veille ne remplace pas la sécurité interne, mais elle raccourcit le temps de reaction.
9. Comment casser la chaine
Il faut intervenir a plusieurs niveaux:
- durcir les acces
- isoler rapidement les comptes compromis
- forcer les rotations de mots de passe
- analyser les journaux
- notifier selon les obligations legales
- former les equipes exposees a la fraude de rebond
10. Ce qu'il faut retenir
Le dark web n'est pas seulement un decor noir et secret. C'est un maillon d'une économie des données volées. Le comprendre permet de sortir du mythe et d'entrer dans la gestion réelle du risque: prevention, detection, containment et responsabilite publique.