Qu'est-ce que le dark web exactement ?

Le dark web est une partie d'Internet accessible uniquement via des réseaux d'anonymisation spécifiques — principalement Tor, parfois I2P ou Freenet. Ces réseaux utilisent un routage en oignon qui fait transiter le trafic par plusieurs nœuds chiffrés successifs, rendant difficile l'identification de l'origine et de la destination. Les sites du dark web ont des adresses en .onion (pour Tor) plutôt qu'en .com ou .fr, et ne sont pas accessibles depuis un navigateur classique. Le dark web ne doit pas être confondu avec le deep web, qui désigne simplement les contenus d'Internet non indexés par les moteurs de recherche (emails, bases de données, intranets, espaces clients) mais accessibles sur Internet classique. Le dark web abrite un mélange d'usages légitimes — journalisme, dissidence politique dans les pays répressifs, protection de sources pour les médias, lanceurs d'alerte — et d'usages criminels — marchés de données volées, plateformes de ransomware, trafics illégaux.

Dark web vs deep web, quelle différence ?

Confusion très courante, dont la différence est pourtant simple. Surface web (ou web visible) : ~5 à 10% d'Internet, toutes les pages indexées par Google, Bing, DuckDuckGo et accessibles par lien classique. Wikipédia, sites médias, e-commerce, blogs. Deep web : 90 à 95% d'Internet, tous les contenus qui existent sur Internet mais ne sont pas indexés par les moteurs — votre boîte mail Gmail, votre compte bancaire, votre intranet d'entreprise, les bases de données scientifiques payantes, les réseaux d'entreprise. Accessibles via Internet classique mais derrière authentification ou URL directe. Aucun aspect criminel dans le deep web en tant que tel — c'est juste la majorité d'Internet. Dark web : sous-ensemble très restreint accessible uniquement via Tor, I2P ou Freenet. Conçu pour l'anonymat. Contient un mélange d'usages légaux et illégaux. Les médias grand public confondent souvent deep web et dark web, donnant une image fausse du deep web comme zone sombre — alors qu'accéder à votre compte bancaire, c'est accéder au deep web.

Est-ce illégal d'aller sur le dark web ?

Non, accéder au dark web n'est pas illégal en France ni dans la plupart des pays occidentaux. Installer Tor Browser, visiter des sites .onion, lire The New York Times ou ProPublica qui proposent des versions onion, lire des forums de discussion — tout cela est légal. Ce qui est illégal, c'est ce qu'on fait : acheter des drogues, des armes, des données volées, accéder à du contenu pédocriminel, vendre des outils d'attaque, blanchir de l'argent via cryptomonnaies. Ces actes sont réprimés pénalement qu'ils se produisent sur le surface web ou le dark web — le dark web ne confère aucune immunité juridique. Les enquêtes judiciaires identifient régulièrement des utilisateurs : Silk Road démantelé 2013 (Ross Ulbricht 2 peines à perpétuité), AlphaBay 2017, Hansa 2017, Hydra 2022, multiples arrestations liées aux marchés dark web. Pour une entreprise, il peut être parfaitement légitime d'explorer le dark web via des services spécialisés pour surveiller les fuites de données ou les mentions de sa marque (threat intelligence).

Mes données d'entreprise peuvent-elles être sur le dark web ?

Oui, et c'est malheureusement fréquent. Le dark web est le principal marché de revente de données volées. Types de données couramment échangées : credentials (identifiants + mots de passe) issus de breaches antérieurs — HaveIBeenPwned recense 14+ milliards de comptes compromis. Numéros de cartes bancaires avec CVV. Données personnelles complètes (identity packages) pour usurpation. Accès VPN et RDP à des entreprises (vendus comme initial access par des Initial Access Brokers). Bases de données clients exfiltrées lors de ransomware. Code source, documents internes, emails. Ransomware leak sites où les groupes publient les données d'entreprises qui refusent de payer (LockBit, ALPHV/BlackCat, Black Basta, Play). Monitoring dark web recommandé pour toute organisation : services comme Flare, Recorded Future, Intel 471, ZeroFox, HaveIBeenPwned Enterprise, Have I Been Pwned gratuit pour les particuliers, scannent régulièrement les marchés et forums pour détecter les fuites concernant votre organisation. Temps de détection moyen d'une fuite de credentials sans monitoring : 6 mois à 2 ans. Avec monitoring : quelques jours à quelques heures.

Dark web : définition, fonctionnement et risques pour les entreprises

Accès principal: Tor Browser, réseau Tor (The Onion Router)
Autres réseaux: I2P (Invisible Internet Project), Freenet/Hyphanet, ZeroNet
Extensions typiques: .onion (Tor), .i2p (I2P)
Taille estimée: ~0,01% d'Internet visible, quelques milliers de sites actifs
Légalité d'accès: Légal en France et UE — illégales sont les activités criminelles qui s'y tiennent

01 — DéfinitionQu'est-ce que le dark web ?

Le dark web (ou darknet) est une partie d'Internet accessible uniquement via des réseaux d'anonymisation spécifiques. Principal réseau : Tor (The Onion Router), loin devant I2P (Invisible Internet Project), Freenet/Hyphanet, ZeroNet.

Les sites du dark web sur Tor ont des adresses en .onion, composées d'une chaîne pseudo-aléatoire (ex. duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion pour DuckDuckGo). Depuis 2017, les adresses onion v3 font 56 caractères pour résister aux attaques cryptographiques. Ces sites ne sont pas accessibles depuis un navigateur classique (Chrome, Firefox, Edge, Safari) sans configuration spécifique.

Caractéristiques fondamentales

Non indexé par les moteurs de recherche classiques.
Accès restreint à des outils spécifiques (Tor Browser principalement).
Anonymat renforcé — serveurs et visiteurs masqués.
Chiffrement en couches — plusieurs relais successifs.
Pas de géolocalisation standard — serveurs non associés à un pays.

Taille réelle du dark web

Contrairement aux représentations médiatiques qui suggèrent un vaste monde souterrain, le dark web est en réalité très petit : estimations récentes entre 30 000 et 70 000 sites .onion actifs à un instant donné, avec une forte volatilité (sites qui apparaissent et disparaissent en permanence). À titre de comparaison, le surface web contient des milliards de pages indexées. Le dark web représente probablement moins de 0,01% d'Internet.

Les 3 couches d'Internet

Représentation classique en « iceberg » :

Surface web (partie émergée) : ~5-10% du contenu d'Internet, indexé par les moteurs de recherche. Google Search, Wikipédia, sites médias, e-commerce, blogs publics.
Deep web (partie immergée massive) : 90-95% du contenu d'Internet, non indexé. Votre boîte Gmail, votre compte bancaire en ligne, intranets d'entreprise, bases de données scientifiques payantes, espaces clients. Accessibles via Internet classique mais derrière authentification.
Dark web (partie la plus profonde) : sous-ensemble très restreint, accessible uniquement via Tor/I2P/Freenet.

Erreur médiatique courante : confondre deep web et dark web. Le deep web, c'est 95% d'Internet légal — rien de sombre à accéder à son compte bancaire.

Le dark web est massivement surreprésenté dans les médias par rapport à sa taille réelle. C'est un outil technique qui sert autant à des journalistes et dissidents qu'à des cybercriminels. La réalité est moins spectaculaire que les clichés mais nettement plus nuancée.

02 — DistinctionSurface web, deep web, dark web

Surface web — ce qui est indexé

Toutes les pages accessibles publiquement et indexées par les moteurs de recherche. Accessibles avec n'importe quel navigateur classique, un clic depuis Google. Exemples : Wikipédia, Le Monde, Amazon, sites d'entreprises, blogs publics.

Deep web — ce qui est non indexé mais accessible

Tout ce qui existe sur Internet classique mais échappe à l'indexation des moteurs de recherche. Pas de connotation criminelle :

Contenus derrière authentification : boîtes mail, comptes bancaires, réseaux sociaux privés, espaces clients.
Intranets d'entreprise : documentation interne, wikis, outils métier.
Bases de données : bibliothèques scientifiques (JSTOR, Cairn), bases statistiques, archives payantes.
Contenus dynamiques : pages générées à la demande selon des paramètres.
Contenus exclus volontairement : sites avec robots.txt bloquant l'indexation.
URL non publiées : sites existants mais dont aucun lien externe n'existe.

Volumétrie : 90-95% d'Internet. Accessible à tous avec un navigateur classique — il suffit de se connecter.

Dark web — ce qui est accessible via réseaux spécifiques

Sous-ensemble très restreint nécessitant des outils d'anonymisation pour y accéder. Conçu pour protéger l'identité des visiteurs et des éditeurs.

Tableau de synthèse

Surface web : navigateur classique, indexé Google, public. Wikipédia, journaux, e-commerce.
Deep web : navigateur classique, non indexé, authentification souvent requise. Gmail, banque en ligne, intranet.
Dark web : Tor Browser ou outil dédié, non indexé, anonymat renforcé. Sites .onion.

Erreur fréquente

Beaucoup d'articles journalistiques parlent de « deep web » pour désigner le dark web, laissant entendre que 95% d'Internet serait souterrain et criminel. C'est inexact et trompeur : le deep web est simplement tout ce qui n'est pas indexé (votre boîte mail, par exemple). Le terme correct pour la zone associée aux activités illégales via Tor est dark web ou darknet.

03 — FonctionnementComment Tor rend anonyme

Le principe du routage en oignon

Tor signifie The Onion Router. Le trafic est enveloppé dans plusieurs couches de chiffrement (comme les couches d'un oignon) et passe par 3 relais successifs avant d'atteindre sa destination. Chaque relai enlève une couche de chiffrement :

Relai d'entrée (guard) : connaît l'IP réelle de l'utilisateur, mais pas la destination finale ni le contenu.
Relai intermédiaire (middle) : ne connaît ni l'origine ni la destination finale, juste les relais voisins.
Relai de sortie (exit) : connaît la destination finale (si site classique) mais pas l'IP de l'utilisateur.

Aucun nœud ne connaît simultanément qui vous êtes ET ce que vous faites — c'est le principe de séparation de l'anonymat.

Services .onion (cachés)

Pour les sites .onion, le principe est différent. Les services cachés :

N'ont pas d'adresse IP publique connue.
Se présentent à des « points d'introduction » dans le réseau Tor.
Le client et le serveur se rencontrent à un « point de rendez-vous » choisi.
Ni le client ni le serveur ne connaissent l'IP l'un de l'autre.

C'est cette architecture qui permet l'anonymat bilatéral caractéristique du dark web.

Qui gère le réseau Tor ?

Tor est un projet open source développé par la Tor Project, organisation à but non lucratif basée aux États-Unis. Le réseau est composé de ~8 000 relais volontaires répartis dans le monde, opérés par des associations, universités, entreprises et particuliers. Financement mixte : dons, subventions d'ONG, historiquement soutien initial du gouvernement US (US Naval Research Lab pour les recherches, Broadcasting Board of Governors pour les aspects anti-censure).

Limites de l'anonymat

Tor n'est pas un anonymat absolu :

Correlation attacks : si un adversaire contrôle une part importante des nœuds (entrée + sortie), il peut corréler les flux.
Nœuds de sortie malveillants : peuvent voir le trafic en clair s'il n'est pas en HTTPS.
Fingerprinting navigateur : si on se connecte à un compte, on se trahit.
Erreurs OPSEC utilisateur : partager des infos personnelles, utiliser les mêmes pseudonymes qu'ailleurs.
Exploits navigateur : plusieurs campagnes du FBI (Operation Torpedo 2012-2013, Playpen 2015) ont utilisé des exploits navigateur pour identifier des utilisateurs.

Pour un anonymat maximal : Tails OS (système d'exploitation live exclusivement Tor), séparation stricte des identités, pas de comptes personnels connus, pas de cookies persistants.

04 — UsagesLégitimes et criminels

Usages légitimes

Journalisme et protection des sources

De nombreux médias maintiennent des versions .onion de leurs sites et des boîtes de dépôt sécurisées pour lanceurs d'alerte :

The New York Times : version onion depuis 2017.
BBC : version onion accessible notamment dans les pays où BBC est bloquée.
ProPublica : pionnier du journalisme via Tor.
Le Monde, Mediapart, Libération : proposent des SecureDrop pour les sources.
SecureDrop : système open source de Freedom of the Press Foundation utilisé par 70+ médias dans le monde.

Dissidence politique et contournement de censure

Dans les pays où Internet est censuré (Chine, Russie, Iran, Corée du Nord, Biélorussie, Arabie Saoudite, certaines périodes en Turquie), Tor permet d'accéder à l'Internet libre. Utilisé par :

Militants des droits humains.
Journalistes dans des contextes sensibles.
Opposants politiques.
Membres de minorités persécutées (LGBTQ+, religieux).
Citoyens ordinaires cherchant à accéder à l'information bloquée.

Protection de la vie privée quotidienne

Certains utilisateurs utilisent Tor sans objectif particulier : échapper au profilage publicitaire, éviter le tracking, par conviction sur la vie privée.

Forces de l'ordre et renseignement

Paradoxalement, les forces de l'ordre utilisent aussi Tor pour leurs investigations sans se faire repérer par les cibles — et le renseignement (le US Naval Research Lab a initialement développé Tor).

Recherche académique

Chercheurs en sécurité informatique qui étudient le dark web, criminologues, sociologues.

Usages criminels

Marchés de drogues

Usage historique et dominant. Silk Road (2011-2013, démantelé par le FBI, créateur Ross Ulbricht condamné à perpétuité), AlphaBay (2014-2017, démantelé par une opération internationale, successeur AlphaBay 2.0 apparu 2021-2023), Hansa, Dream Market, Hydra (marché russe démantelé 2022), Incognito Market, etc. Chaque démantèlement est suivi de l'émergence de nouveaux marchés.

Vente de données volées

Sujet majeur pour les entreprises :

Credentials (identifiants + mots de passe) issus de breaches.
Numéros de cartes bancaires avec CVV (forums comme Jokers Stash avant fermeture 2021).
Identity packages : dossiers complets pour usurpation d'identité.
Accès à des entreprises vendus par les Initial Access Brokers.
Logs infostealer : données volées par des trojans (cookies, credentials, cryptowallets) vendues en volume. Russian Market, Genesis Market (démantelé 2023).

Ransomware et extortion

Les groupes ransomware modernes publient sur des leak sites .onion les données des victimes qui refusent de payer. Exemples actifs ou historiques : LockBit (historiquement dominant, démantelé février 2024 par opération Cronos, reparu partiellement), ALPHV/BlackCat, Conti (démantelé 2022), Clop, Play, Akira, Royal, RansomHub, 8Base. Ces sites servent aussi de « vitrine » pour les victimes en cours de négociation.

Outils et services criminels

Malware-as-a-Service : location de trojans, ransomwares, exploits.
DDoS-for-hire.
Blanchiment de cryptomonnaies via mixers et chaîne de transactions.
Faux documents (passeports, permis).
Armes (moins fréquent, fortement surveillé).

Contenu illégal

Contenu pédopornographique — zone surveillée intensivement par les forces de l'ordre, avec plusieurs opérations internationales (Playpen 2015, récentes arrestations coordonnées). Les agences luttent activement contre ces contenus, avec des résultats.

05 — MarchésL'économie criminelle du dark web

Modèle économique des marchés

Fonctionnement similaire aux plateformes e-commerce légales :

Inscription des vendeurs (vendors) avec vérification.
Système de réputation et avis acheteurs.
Escrow : paiement conservé par la plateforme jusqu'à livraison/validation.
Commission sur les ventes (2-10% typiquement).
Paiements en cryptomonnaies : Bitcoin historiquement dominant, Monero (plus anonyme) de plus en plus préféré.
Support client, résolution de litiges.

Volumes économiques

Estimations par Chainalysis (société d'analyse blockchain) :

Revenus totaux des marchés dark web : ~1,5 à 2 milliards USD/an en pics (2021-2022).
Hydra (avant démantèlement 2022) : 1,3 milliards USD de revenus en 2020.
Ransomware 2023-2024 : 1,1 milliards USD de rançons payées (record).
En déclin relatif depuis 2023 après plusieurs opérations majeures des autorités.

Opérations majeures des autorités

Silk Road (octobre 2013) : premier démantèlement médiatisé, Ross Ulbricht condamné à perpétuité aux USA.
Opération Bayonet (juillet 2017) : démantèlement simultané d'AlphaBay et Hansa, Europol + FBI + DEA.
Opération DisrupTor (2020) : 179 arrestations liées au dark web.
Hydra (avril 2022) : saisie par autorités allemandes et américaines, plus gros marché russe.
Genesis Market (avril 2023) : démantèlement du plus grand marché d'infostealer logs.
Kingdom Market, Nemesis Market, Incognito Market : saisies récentes 2023-2024.
LockBit (février 2024) : opération Cronos menée par la NCA britannique, 34 serveurs saisis, infrastructure majeure compromise. Résurgence partielle mais affaiblissement notable.

Cycle des marchés

Pattern récurrent depuis 2013 :

Un marché dominant émerge.
Il grossit pendant 1-3 ans.
Il est démantelé par une opération des forces de l'ordre OU disparaît dans un exit scam (les opérateurs prennent l'argent escrow et disparaissent).
Les utilisateurs migrent vers d'autres marchés.
Un nouveau marché dominant émerge.

Cette instabilité permanente est à la fois le signe que la lutte fonctionne et que l'écosystème s'adapte.

06 — EntrepriseRisques et monitoring dark web

Pourquoi surveiller le dark web ?

Les données d'entreprises se retrouvent fréquemment sur le dark web. Détecter une fuite rapidement permet :

Réaction immédiate : changer les mots de passe compromis avant exploitation.
Notification RGPD : obligation légale de notifier la CNIL sous 72h en cas de violation.
Enquête interne : identifier le vecteur de la fuite pour la corriger.
Assurance cyber : conditions souvent liées à la détection rapide.
Réputation : annoncer soi-même plutôt que d'être informé par les médias.

Types de fuites observées

Credentials (le plus fréquent)

Identifiants + mots de passe issus de breaches. Volume massif : HaveIBeenPwned recense 14+ milliards de comptes compromis cumulés historiquement. Risque : credential stuffing — les attaquants testent les mêmes identifiants sur de multiples sites, trouvent ceux réutilisés.

Logs infostealer

Jeu de données complet volé par un trojan sur un appareil d'employé : mots de passe navigateur, cookies de session (permettent de contourner MFA), données d'autofill, crypto-wallets, tokens Discord, configurations VPN. Vendus typiquement 10-100 USD par machine. Les logs d'employés avec accès aux systèmes critiques valent plus.

Accès réseau (Initial Access)

Les Initial Access Brokers vendent des accès à des réseaux d'entreprise : VPN credentials, RDP exposés avec mots de passe, comptes admin compromis. Prix typique : 500 à 50 000 USD selon la taille et la criticité de l'entreprise. Ces accès sont achetés par les groupes ransomware comme point d'entrée.

Données exfiltrées par ransomware

Les groupes ransomware modernes publient les données des victimes refusant de payer. Exposition publique, possiblement définitive, des documents internes, emails, données clients.

Code source et secrets

Code source fuité, clés API, certificats, documentation technique. Cas emblématiques : Twitch 125 Go 2021, plusieurs clients Microsoft 365, multiples fuites GitHub privées.

Services de monitoring dark web

Flare : plateforme de threat intel avec focus credentials et données sensibles.
Recorded Future : threat intelligence haut de gamme incluant monitoring dark web.
Intel 471 : référence sur le monitoring des forums cybercriminels.
ZeroFox : External Attack Surface + dark web monitoring.
SpyCloud : spécialisé credentials compromis.
CloudSEK, Cyberint, Kela, DarkOwl : autres acteurs.
Microsoft Defender Threat Intelligence : intégré à l'offre Microsoft.
CrowdStrike Falcon Intelligence, SentinelOne Vigilance : volets threat intel des plateformes EDR/XDR.

Outils gratuits pour particuliers et petites structures

Have I Been Pwned (haveibeenpwned.com) : service gratuit de Troy Hunt, permet de vérifier si un email est dans un breach connu. Inscription aux notifications pour alertes futures.
Firefox Monitor : basé sur HaveIBeenPwned, intégré à Firefox.
Google Password Checkup : alerte sur les mots de passe compromis dans Chrome.
1Password, Dashlane, Bitwarden Premium : gestionnaires de mots de passe avec monitoring intégré.

Démarche recommandée

Inventaire : domaines, marques, mots-clés à surveiller.
Mise en place du monitoring : service commercial ou outils gratuits selon budget.
Process de réaction : qui est alerté, quelles actions, SLA.
Rotation préventive : mots de passe après fuite détectée, révocation d'accès.
Notifications RGPD : process pour notification CNIL en cas de violation.
Post-mortem : après chaque incident, identifier le vecteur et renforcer.

07 — AccèsComment accéder au dark web en sécurité

Accéder au dark web est légal en France et dans la plupart des pays occidentaux. Les précautions sont surtout techniques pour préserver l'anonymat et éviter de s'exposer à des contenus ou outils dangereux.

Usages légitimes pour lesquels cela peut avoir du sens

Journalistes et sources : consulter SecureDrop et équivalents.
Recherche académique et professionnelle sur la cybercriminalité.
Contournement de censure dans des pays restrictifs.
Monitoring dark web professionnel : passer par des services spécialisés plutôt qu'un accès direct.
Protection de la vie privée quotidienne.

Ce qu'il ne faut pas faire

Accéder à des contenus clairement illégaux : les enquêtes existent même sur Tor.
Exécuter des fichiers téléchargés depuis le dark web : risque très élevé de malware.
Se connecter à ses comptes personnels via Tor : annule l'anonymat et peut déclencher des alertes de sécurité.
Donner des informations personnelles : identité, photos, mêmes pseudonymes qu'ailleurs.
Utiliser Tor depuis un appareil non sécurisé ou partagé.

Installation basique — Tor Browser

Télécharger Tor Browser depuis le site officiel : torproject.org. Ne jamais télécharger depuis un autre site — risque de version compromise.
Vérifier la signature GPG du fichier téléchargé (page d'instructions sur le site officiel).
Installer sur le système (Windows, macOS, Linux, Android). Pas officiellement supporté sur iOS — Apple restreint Tor, utiliser Onion Browser comme alternative.
Au premier lancement : configuration par défaut suffisante pour la plupart des usages.
Tor Browser empêche par défaut : JavaScript dangereux, plugins, fingerprinting.

Pour un anonymat maximal — Tails OS

Tails (The Amnesic Incognito Live System) est un système d'exploitation complet :

Démarre depuis une clé USB sans toucher au disque dur de l'ordinateur.
Route tout le trafic par Tor obligatoirement.
Ne laisse aucune trace à l'arrêt (amnésique).
Pré-configuré pour la sécurité.

Utilisé par Edward Snowden, journalistes d'investigation, militants. Téléchargeable gratuitement sur tails.net.

Bonnes pratiques OPSEC

Séparation stricte : ne jamais mélanger identités dark web et vie normale.
Pas de comptes personnels : ne pas se connecter à Gmail, Facebook via Tor.
Machine dédiée ou Tails : idéalement pas depuis l'appareil du quotidien.
Pas de téléchargements : si nécessaire, analyser dans une VM isolée.
Pas de JavaScript dangereux : désactiver via le niveau de sécurité Tor Browser.
Pas de webcam, micro, GPS : couper physiquement si possible.
Pas d'informations personnelles : identité, lieu, métier, photos.
Pseudonymes uniques : jamais utilisés ailleurs.

Alternatives selon besoin

Besoin de vie privée basique : VPN sérieux suffit (Mullvad, ProtonVPN).
Journaliste avec source : SecureDrop + Tails.
Recherche professionnelle sur cybercrime : service de threat intel commercial plutôt que direct.
Anonymat très élevé : Tails + OPSEC stricte + pas de téléphone personnel à proximité.

08 — FAQQuestions fréquentes

Accéder au dark web est-il dangereux pour mon ordinateur ?

Tor Browser lui-même est sûr : logiciel open source audité, développé par une fondation reconnue. Les risques viennent des sites visités — comme sur Internet classique mais en amplifié. Ne pas télécharger de fichiers, ne pas exécuter de scripts, maintenir le navigateur à jour, utiliser le niveau de sécurité « Safer » ou « Safest » de Tor Browser. Un usage raisonnable (visite de sites d'information légaux) ne présente pas plus de risque qu'une navigation classique. L'attaque la plus probable reste l'ingénierie sociale — un faux site qui incite à télécharger ou renseigner des informations.

Le dark web est-il entièrement composé d'activités illégales ?

Non, loin de là. Estimations issues de plusieurs études académiques (Dr. Thomas Rid 2019, Mike Bergman 2020) : environ 30-50% des sites .onion ont un contenu légal — médias, bibliothèques, forums de discussion, sites d'associations, versions onion de services classiques (DuckDuckGo, Facebook, Wikipedia via Tor). Le reste est un mélange de contenus grisés, pornographie légale, et activités illégales. La part criminelle reste significative mais la dichotomie « dark web = criminel » est une simplification médiatique. De nombreux sites .onion sont simplement des versions anonymes de services classiques.

Mon FAI voit-il que j'utilise Tor ?

Oui, par défaut votre FAI peut détecter que vous utilisez Tor. Il voit que vous vous connectez à un relai d'entrée Tor connu (les IP des guards sont publiques). Il ne voit pas ce que vous faites, mais il sait que vous utilisez Tor. Dans la plupart des pays occidentaux, c'est légal et sans conséquence. Dans certains pays (Chine, Russie, Iran), l'usage de Tor est restreint ou surveillé. Pour masquer l'utilisation de Tor au FAI, il existe les bridges (relais non publics) et les pluggable transports (obfs4, meek, Snowflake) qui déguisent le trafic Tor en trafic ordinaire. Option « Configure bridges » dans Tor Browser.

Peut-on acheter quelque chose sur le dark web ?

Techniquement oui, mais fortement déconseillé. Les risques :

Arnaque : les vendeurs peuvent disparaître avec l'argent, les exit scams de plateformes sont fréquents.
Illégalité : acheter des produits illégaux (drogues, données, armes, faux documents) est pénalement réprimé avec aggravation possible.
Surveillance : les forces de l'ordre opèrent sur les marchés et peuvent identifier les acheteurs (opération Playpen 2015, multiples opérations récentes).
Livraison : les colis de drogues sont interceptés, déclenchant enquête et condamnation.
Malware : logiciels vendus souvent eux-mêmes piégés.

Pour une entreprise ou particulier honnête, il n'y a aucun intérêt légitime à acheter sur les marchés dark web.

Mes données d'enfant/famille peuvent-elles être sur le dark web ?

Potentiellement oui, notamment si vos comptes ou ceux de vos enfants ont été dans des breaches. Actions recommandées : vérifier tous les emails familiaux sur Have I Been Pwned (gratuit), activer les notifications sur ce service, utiliser un gestionnaire de mots de passe avec monitoring (1Password, Dashlane, Bitwarden). Pour les mineurs, surveiller particulièrement les plateformes jeux (fuites régulières) et réseaux sociaux ado. Informer et éduquer sur les mots de passe uniques, MFA, vigilance sur les liens suspects. En cas de fuite identifiée : changer immédiatement les mots de passe impactés, activer MFA, surveiller les transactions bancaires.

Le dark web va-t-il disparaître ?

Non, probablement pas. Les opérations des autorités ont des effets réels : LockBit affaibli en 2024, Genesis Market démantelé en 2023, Hydra en 2022, etc. Mais chaque démantèlement est suivi d'adaptations — nouveaux marchés, déplacements vers Telegram et applications privées, usage croissant de Monero (plus anonyme que Bitcoin). L'infrastructure Tor elle-même continue d'exister et reste vitale pour le journalisme, la dissidence, la protection des sources dans les pays répressifs. Les usages criminels s'adaptent et se déplacent mais ne disparaissent pas complètement. Le combat est continu plutôt que terminal.