Fuites massives de données, industrialisation des attaques et montée en puissance de l’IA : le dark web se transforme en un marché noir de la cybercriminalité industrialisée.
Plus de 80 millions de données exposées en 2025! Cette statistique dessine la réalité d’un écosystème désormais organisé, où l’offre et la demande fonctionnent selon des logiques proches de celles des marchés traditionnels. La cybercriminalité n’est plus artisanale : elle est industrialisée, outillée et portée par une économie parallèle en pleine expansion.
Décryptage avec Benoît Grunemwald, expert en cybersécurité chez ESET France, observateur privilégié de ces mutations.
Le marché des données volées
Longtemps perçu comme un espace marginal, le dark web fonctionne aujourd’hui comme une véritable place de marché. Données volées, accès compromis, outils d’attaque : tout s’y échange selon des logiques précises, avec ses acteurs, ses règles et ses spécialisations.
« Ceux qui cherchent à vendre les informations qu’ils ont récoltées et ceux qui souhaitent les acheter se rencontrent. C’est une logique d’offre et de demande. »
Au-delà de la revente de données, une seconde économie s’est développée : celle des services cybercriminels. Kits de phishing, logiciels malveillants, outils de contournement ou d’attaque sont désormais proposés “clé en main”.
« On retrouve les éléments nécessaires pour que les pirates puissent opérer : des kits d’hameçonnage, des infostealers, des EDR killers… toute une économie de services. »
Le dark web abrite en réalité des plateformes variées, dont certaines ont des usages légitimes. Mais son anonymat en fait un environnement particulièrement propice aux échanges illicites, notamment autour des données volées.
« Les informations volées se retrouvent sur différents canaux de vente, surtout des forums accessibles via des outils comme Tor, où se rencontrent l’offre et la demande », explique Benoît Grunemwald.
L’ampleur des fuites de données est en forte croissance. En France, la situation est particulièrement marquante : en 2025, près de 80 millions d’adresses postales ont été exposées sur le dark web.
Une réalité qui conduit les experts à estimer que la majorité des individus disposent aujourd’hui d’une partie, voire de l’ensemble, de leurs données personnelles circulant dans des bases compromises.
Les vecteurs d’attaque
Comment de telles fuites passent-elles inaperçues ? La réponse tient souvent à un manque de visibilité interne. « Des volumes de données peuvent être exfiltrés sans que cela ne soit constaté… encore faut-il disposer d’équipes de sécurité et de moyens adaptés. »
Le problème repose à la fois sur une détection tardive, voire inexistante, et sur une surface d’exposition de plus en plus large, impliquant opérateurs, partenaires et institutions.
À cela s’ajoute un facteur d’accélération récent, l’intelligence artificielle générative, qui rend les attaques plus crédibles, plus ciblées et donc plus efficaces.
« Face à l’utilisation croissante de l’intelligence artificielle générative et des agents pour créer du phishing et de l’ingénierie sociale sophistiquée, il est nécessaire d’être bien informé et sceptique », alerte Benoît Grunemwald.
Plusieurs mécanismes alimentent aujourd’hui le marché noir des données sur le dark web. Les violations de données d’entreprise, d’abord, résultent d’attaques massives visant des organisations et entraînent le vol d’informations clients ou employés, rapidement revendues en ligne.
Les malwares de type infostealer constituent un autre vecteur majeur. Ces logiciels malveillants récupèrent identifiants, mots de passe et données bancaires. Ils sont souvent diffusés via de faux sites, des applications piégées ou des campagnes de phishing, et proposés sous forme de kits comme RedLine ou Lumma.
Le phishing et l’ingénierie sociale restent des méthodes centrales pour soutirer des informations sensibles.
S’ajoutent enfin les fuites accidentelles, souvent liées à une mauvaise configuration de bases de données en ligne, notamment dans le cloud, qui exposent des informations sans authentification.
Identifiants, MFA et supply chain… les nouvelles priorités de défense
Dans cet environnement, toutes les données ne se valent pas. Certaines concentrent une valeur particulièrement élevée pour les attaquants, en particulier les identifiants.
« Si je dois donner le top 1, ce sont les logins et les mots de passe… ils permettent de pénétrer dans les entreprises de manière discrète. »
Les cybercriminels ciblent avant tout l’exploitation financière ou la compromission des systèmes. Parmi les données les plus recherchées figurent donc les coordonnées bancaires.
S’y ajoutent les données personnelles identifiables (PII), utilisées pour l’usurpation d’identité — ouverture de crédits, demandes de prestations et phishing ciblé.
Autre catégorie particulièrement sensible, car inaltérable : les données biométriques, qui représentent un risque permanent en cas de compromission.
Contrairement à une attaque classique, l’utilisation d’identifiants valides rend la détection beaucoup plus difficile. C’est pourquoi l’authentification multifacteur (MFA) s’est imposée comme un standard, mais n’est toutefois pas infaillible.
« Le MFA est aujourd’hui la meilleure protection, mais il peut être contourné, notamment via le vol de jetons de session. »
Autre point de fragilité majeur : la supply chain. Les attaquants ciblent de plus en plus les partenaires et prestataires, souvent moins bien sécurisés. « Il faut connaître sa supply chain, l’auditer et choisir des prestataires qui considèrent la sécurité comme un élément central. »
Enfin, certaines pratiques restent sous-estimées, notamment le recours au SMS pour l’authentification multifacteur. « Le SMS est devenu un maillon faible… avec le SIM swapping, le cybercriminel peut récupérer les codes. »
Des alternatives plus robustes existent, comme les applications d’authentification ou les clés physiques, qui renforcent significativement le niveau de sécurité.
Défense en profondeur et réponse aux compromissions
Face à ces menaces, les experts recommandent une défense en profondeur reposant sur des couches de sécurité détectant les compromissions liées aux malwares avancés.
La recommandation principale consiste à privilégier une application sur smartphone ou une clé physique. « Une application sur smartphone ou une clé physique offre un niveau de sécurité beaucoup plus élevé. »
La cybersécurité est une responsabilité collective. L’organisation doit ainsi auditer sa chaîne d’approvisionnement pour contrôler les sous-traitants et les services tiers.
Les entités doivent aussi surveiller l’activité des comptes et l’exposition sur le dark web. Elle doit également déployer des outils de détection basés sur l’IA ou comme les honeypots pour détecter les intrusions.
Chaque salarié doit maintenir ses systèmes à jour, utiliser une suite de sécurité fiable. Il est conseillé d’adopter un gestionnaire de mots de passe robuste, idéalement doté d’une fonction de surveillance du dark web.
Restez vigilant face aux messages non sollicités et formez-vous régulièrement via des plateformes comme Cybermalveillance.gouv.fr.
En cas d’exposition, d’abord vérifier la réalité de la fuite puis changer immédiatement les mots de passe compromis. Utilisez des identifiants uniques pour chaque service et activez le MFA, en privilégiant les applications d’authentification ou les clés physiques.
Ensuite, déconnecter toutes les sessions actives pour invalider les cookies et les jetons de session.
Par mesure, contactez la banque pour bloquer les cartes et en demander de nouvelles ou faites opposition auprès des organismes de crédit pour éviter toute ouverture frauduleuse de comptes.
Viennent ensuite la détection d’éventuels malwares. Enfin signaler la situation sur Cybermalveillance.gouv.fr ou via le 17 Cyber pour obtenir de l’assistance.
Cette démarche s’inscrit également dans des cadres réglementaires comme le RGPD pour les données personnelles ou DORA pour les données financières.
