Cet article est une traduction par Christina pour Odaily Planet Daily d'un rapport de Chainalysis.
Un sondage révèle qu'en 2019, 18 % des Américains et 35 % de la génération des Millennials aux États-Unis avaient déjà acheté des cryptomonnaies, signe d'une adoption croissante.
Les institutions financières traditionnelles, à l'image de JPMorgan Chase, s'impliquent désormais dans cet écosystème. Des géants du commerce comme Amazon et Starbucks acceptent maintenant les paiements en BTC. Cependant, le caractère décentralisé et semi-anonyme des cryptomonnaies en fait aussi un outil privilégié pour les activités criminelles. Ces dernières années, les marchés du dark web ont régulièrement utilisé des cryptomonnaies comme le BTC pour régler des biens et services illicites (armes, drogues, données personnelles...), se transformant en véritables « zones de non-droit ».
Les données montrent qu'après un léger recul en 2018, le chiffre d'affaires total des marchés du dark web a bondi de 70 % en 2019, franchissant pour la première fois la barre des 600 millions de dollars. Par ailleurs, depuis 2015, la part des transactions sur ces marchés dans le volume global des transactions en cryptomonnaies a doublé, passant de 0,04 % à 0,08 % en 2019.
Comme par le passé, l'immense majorité des transactions sur le dark web transite par des plateformes d'échange. À ce jour, ces exchanges restent le service le plus utilisé par les clients pour envoyer des cryptomonnaies aux vendeurs.
Bien que la part des transactions du dark web dans l'activité globale des cryptomonnaies reste marginale (seulement 0,08 %), leur volume a récemment augmenté. Cette hausse s'explique notamment par un rebond de ces activités malgré un renforcement des contrôles par les autorités.
Si 8 des 49 marchés actifs du dark web en 2018 ont fermé en 2019, 8 nouveaux sont apparus la même année. Globalement, à l'exception des années fastes de Silk Road (2012-2013), chaque marché actif a généré davantage de revenus en 2019 que lors de toute autre année. La raison est simple : lorsqu'un marché ferme, d'autres semblent capables de combler le vide et de répondre à la demande des clients.
Les données confirment également que la croissance des revenus provient principalement d'une augmentation du nombre d'achats, et non de leur valeur moyenne. En dollars, la valeur médiane des achats est restée stable, tandis que le nombre de transferts (vers les marchés illicites) a de nouveau fortement augmenté, passant de 9 à 12 millions. Cela indique soit qu'un plus grand nombre de clients ont acheté sur le dark web en 2019, soit que les clients existants ont accru leurs achats.
Fait intéressant, comparée à d'autres services, l'activité sur les marchés du dark web semble moins sensible aux fluctuations des cours des cryptomonnaies ou aux variations saisonnières. Le graphique ci-dessus compare, sur l'année 2019, le volume total des transactions en BTC sur le dark web avec celui de trois autres types de services : la progression sur le dark web est nettement plus modérée. Sur l'ensemble de l'année, l'activité y reste concentrée dans une fourchette bien plus étroite, suggérant que le comportement des utilisateurs est peu influencé par le prix du BTC.
Les drogues dominent toujours le dark web
Le graphique ci-dessus retrace l'évolution des principaux marchés du dark web. Les marchés de drogues y conservent la part la plus importante. Il faut noter que certains de ces grands marchés ne desservent que des pays ou régions spécifiques. Par exemple, Hydra Marketplace, le plus populaire sur ce graphique, cible exclusivement les clients russes. Ci-dessous, une autre version du graphique se concentre sur les marchés à clientèle mondiale. Certains y sont plus populaires dans certains pays, mais globalement, les données qui suivent seront plus pertinentes pour les enquêteurs américains et ouest-européens.
Les marchés de drogues dominent également ici. Cependant, les marchés spécialisés dans d'autres produits illicites génèrent aussi des revenus substantiels. Joker’s Stash Market et UNICC sont deux exemples représentatifs ayant maintenu une popularité stable sur la période.
Lutte contre la cybercriminalité : faut-il cibler les vendeurs ou fermer les marchés ?
Depuis longtemps, la stratégie des forces de l'ordre consiste à cibler les marchés du dark web eux-mêmes. À première vue, c'est l'approche la plus logique : pourquoi traquer chaque vendeur individuellement si l'on peut neutraliser tous les fournisseurs d'un seul coup ? Cette stratégie a permis des victoires majeures, comme la fermeture de marchés emblématiques tels qu'AlphaBay et Hansa. Cependant, le problème est qu'à la fermeture d'un marché, d'autres émergent rapidement pour combler le vide. Fin 2019, on comptait au moins 49 marchés actifs, offrant aux utilisateurs et fournisseurs un large choix. De plus, ils peuvent facilement découvrir ces nouvelles plateformes sur des forums comme « Dread ».
Nightmare était un marché temporaire de popularité moyenne, fermé le 23 juillet 2019. Contrairement aux autres exemples, il n'a pas été fermé par les forces de l'ordre. La raison exacte reste inconnue, mais après cette date, les utilisateurs ont massivement déserté la plateforme. Dès fin juillet, les transactions y avaient quasiment cessé. Comme le montrent les données ci-dessous, Empire a absorbé l'essentiel de l'activité de Nightmare, avec une hausse significative de ses ventes au moment où celles de Nightmare s'effondraient.
La fermeture de Nightmare illustre parfaitement le problème des marchés du dark web. Il en existe beaucoup d'autres, et les vendeurs peuvent facilement rediriger leurs principaux clients vers un nouveau marché. C'est pourquoi de nombreuses forces de l'ordre recentrent désormais leurs efforts sur l'arrestation des vendeurs individuels.
Voici une étude de cas pertinente. Nous avons interrogé Stefan Kalman, analyste utilisateur et officier de police antidrogue suédois spécialisé dans les marchés du dark web.
En 2014, Stefan Kalman et son équipe de la police suédoise ont identifié un vendeur actif sur le dark web, présent à la fois sur Silk Road 2.0 et Evolution, sous le pseudonyme de Malvax. En surveillant ses activités sur les forums de Silk Road, ils ont découvert qu'il opérait également sur deux autres marchés parallèles : Evolution et Flugsvamp, ce dernier étant une plateforme principalement fréquentée par des Suédois. Malvax proposait à la vente plus de 280 produits, dont du fentanyl, un opioïde synthétique extrêmement puissant. Bien que la police ait intercepté certains de ses colis — identifiables grâce au service postal privé danois PostNord —, son identité réelle demeurait un mystère.
Malvax avait brouillé les pistes grâce à une série de techniques d'obfuscation et d'opérations complexes. Cependant, une opportunité décisive s'est présentée en 2015 pour les enquêteurs : après la fermeture des serveurs de « Silk Road 2.0 » en novembre de l'année précédente, le FBI en a obtenu la saisie. L'analyse des journaux d'activité (logs) de ces serveurs a permis de remonter à plusieurs adresses Bitcoin utilisées par le vendeur sous le pseudonyme Malvax. Certaines de ces adresses ont pu être reliées à un compte sur une plateforme d'échange régulée basée au Royaume-Uni.
Stefan et son équipe ont alors adressé une réquisition judiciaire à cette plateforme d'échange, ce qui leur a fourni les informations nécessaires pour identifier formellement Malvax : il s'agissait de Fredrik Robertsson.
Afin de confirmer que Robertsson poursuivait ses activités illicites, l'équipe a procédé à un achat-test sous couverture sur Flugsvamp. Par la suite, elle a obtenu l'autorisation de mettre son téléphone sur écoute, d'installer un traceur GPS sur son véhicule et de filmer son domicile. D'autres commandes piégées ont été passées, et ses comportements en ligne comme hors ligne ont été étroitement surveillés.
Grâce aux preuves accumulées par Stefan et son équipe contre Fredrik Robertsson et son frère, la justice suédoise a pu les condamner pour trafic de stupéfiants sur le dark web.
Plongée dans les marchés de données bancaires
Comme évoqué précédemment, si les marchés spécialisés dans la drogue sont les plus notoires, ils ne sont pas les seuls à générer un chiffre d'affaires conséquent. Penchons-nous sur un autre type de marché très répandu.
Vous avez sans doute entendu parler des graves fuites de données ayant touché des entreprises comme Capital One ou Home Depot, où des millions d'informations de cartes bancaires ont été dérobées. Mais savez-vous où finissent ces données ? Très probablement sur des marchés spécialisés dans la revente de données bancaires. Ces plateformes constituent une catégorie à part entière du dark web, où il est possible d'acheter des informations de cartes de crédit ou de débit volées.
Prenons l'exemple de UNICC.
L'image ci-dessus montre un aperçu des données de cartes disponibles sur UNICC. Leur prix varie généralement entre 2 et 15 dollars, pour une moyenne d'environ 10 dollars. Plusieurs facteurs influent sur le tarif. Le premier est la zone géographique d'émission : les cartes américaines et ouest-européennes sont généralement plus chères. Un autre facteur déterminant est la présence d'informations personnelles identifiables (PII) associées, comme l'adresse postale ou le numéro de téléphone du titulaire. La plupart des sites de e-commerce requièrent ces données pour valider un achat, ce qui augmente d'autant la valeur de la carte.
En 2019, UNICC a reçu au moins 22,7 millions de dollars en cryptomonnaies, ce qui en fait le quatrième marché le plus actif de l'année. Son activité est restée relativement stable, avec un pic au mois d'avril. Sur la base de ce chiffre d'affaires total et d'un prix moyen estimé à 10 dollars par carte, on peut évaluer que UNICC a écoulé les données d'environ 3 millions de cartes bancaires.
Les données géographiques indiquent que la majorité des acheteurs sur UNICC proviennent d'Amérique du Nord (juste derrière le niveau mondial), tandis que les vendeurs de ces données sont principalement localisés en Chine.
Quelle évolution pour les marchés du dark web ?
Certains marchés du dark web commencent à intégrer des fonctionnalités visant à renforcer la sécurité des utilisateurs. Par exemple, de nombreuses plateformes adoptent désormais la technologie multi-signature (multisig), qui nécessite la confirmation conjointe de l'acheteur et du vendeur pour libérer les fonds. Une autre innovation est le système de « dépôt direct », parfois appelé « escrow sans portefeuille » : chaque transaction génère un nouveau portefeuille à usage unique, et les cryptomonnaies sont transférées directement du compte de l'acheteur à celui du vendeur.
Pour se prémunir contre les fermetures par les autorités, certains marchés adoptent également de nouvelles infrastructures. OpenBazaar, par exemple, repose sur une architecture entièrement décentralisée, similaire à celle d'une blockchain ou du navigateur Tor. Les utilisateurs n'ont qu'à télécharger et exécuter un logiciel, sans avoir besoin de se connecter via un site web centralisé.
Enfin, de plus en plus de marchés du dark web acceptent, voire exigent, l'utilisation de cryptomonnaies axées sur la confidentialité, comme Monero (XMR). Monero utilise un registre public obscurci, ce qui rend beaucoup plus difficile l'identification de l'expéditeur, du destinataire ou du montant d'une transaction.