Le « dark web » désigne un ensemble d’espaces où circulent et se négocient des données issues d’activités cybercriminelles. Ces environnements regroupent des forums parfois indexés par des moteurs de recherche, des plateformes semi-publiques et des canaux de messagerie tels que Telegram. Des contenus initialement réservés à des cercles restreints finissent souvent par être relayés dans des espaces plus ouverts, voire diffusés gratuitement. Ce basculement s’explique par plusieurs facteurs : absence d’acheteurs, conflits entre acteurs malveillants ou stratégies visant à renforcer une réputation au sein de ces communautés.

Les bases de données personnelles, première famille de données disponibles La première grande catégorie de données visibles sur ces espaces correspond aux bases de données personnelles issues de fuites. « Il est très courant de trouver sur des forums généralistes comme ‘BreachForums’ la vente ou le partage de listings issus de fuites associées à des services grand public ou à des organisations très visibles. Ces listings contiennent des e-mails, des numéros de téléphone, des adresses postales et parfois des attributs additionnels. Ces derniers peuvent être des dates de naissance, des historiques ou des montants d’achats effectués sur des sites marchands, etc. La circulation de ces données est rapide : annonce, preuve d’échantillon puis transaction », explique David Sygula, Head of CTI chez Anozr Way.

Plusieurs outils d’analyse permettent de mieux caractériser la nature de ces données personnelles compromises. La page « Data breach statistics globally », fournie par la société Surfshark, met en avant le chiffre astronomique suivant : depuis 2004, 23,5 milliards d’adresses e-mail ont été divulguées à l’échelle mondiale, auxquels 58,5 milliards de points de données personnelles viennent s’ajouter. La France représente à elle seule 717 millions d’e-mails divulgués et près de deux milliards de points de données.