En mai 2023, l’opération SpecTor — menée conjointement par la GRC, le FBI et Europol — a mené à 288 arrestations dans 9 pays. Parmi les personnes arrêtées : des acheteurs ayant commandé pour quelques centaines de dollars de produits sur des marchés du dark web. Pas des grands criminels. Des gens ordinaires qui pensaient que Tor les rendait invisibles. Ils avaient tort.
Le dark web fait peur. Ou il fascine. Souvent les deux.
Les films et les séries en font un endroit mystérieux réservé aux hackers en capuche et aux trafiquants de l’ombre. La réalité est à la fois plus banale et plus inquiétante. Banale parce que la technologie derrière n’est pas magique — c’est un navigateur spécial et des adresses web différentes. Inquiétante parce que vos données y sont probablement, sans que vous ayez jamais eu besoin d’y aller.
Ce guide démystifie tout ça. Pas pour vous encourager à y aller, mais pour que vous compreniez ce que c’est, ce qui s’y passe, et surtout — comment vous protéger.
Surface web, deep web, dark web : les 3 couches d’internet expliquées simplement
Imaginez internet comme un iceberg.
La surface (surface web), c’est ce que vous voyez au-dessus de l’eau. Ce que Google indexe. Les sites que vous visitez tous les jours : actualités, YouTube, Amazon, Facebook, Wikipedia. Environ 5 à 10 % d’internet.
Le milieu (deep web), c’est la masse immergée — la partie que Google ne peut pas voir parce que protégée par un mot de passe ou parce que dynamique. Votre boîte courriel Gmail. Votre compte Desjardins. Votre dossier médical en ligne. Votre espace Netflix. Votre historique de commandes Amazon. C’est 90 à 95 % d’internet. Vous l’utilisez chaque jour. C’est entièrement légal.
La pointe du bas (dark web), c’est une fraction minuscule du deep web. Des sites intentionnellement cachés, accessibles uniquement avec un logiciel spécial, et dont les adresses ressemblent à ça : dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion. Illisible, impossible à deviner, invisible pour les moteurs de recherche.
Pourquoi cette confusion ?
Tout le monde mélange deep web et dark web, et les médias n’arrangent pas les choses. Quand un journaliste dit “on a trouvé vos données sur le dark web”, il devrait souvent dire “sur le deep web” — parce que les bases de données volées ne sont pas toujours sur des sites .onion. Elles circulent aussi sur des forums semi-privés, des canaux Telegram, des serveurs Discord verrouillés. Mais “dark web” fait plus peur, alors le raccourci s’est installé.
Pour vous : retenez que le deep web est votre espace en ligne protégé, et que le dark web est l’écosystème intentionnellement caché où se mélangent journalistes, militants politiques, curieux, et une bonne proportion de criminels.
Ce qu’on trouve vraiment sur le dark web (vs les mythes)
Hollywood vous a vendu l’idée d’un internet parallèle où on peut commander un meurtre en cliquant sur un bouton. C’est exagéré. Mais la réalité reste troublante.
Ce qui existe vraiment
Les marchés criminels. Des plateformes qui ressemblent à Amazon mais pour la drogue, les faux documents, les données volées, les logiciels malveillants, les comptes piratés. Le marché Silk Road, fermé par le FBI en 2013, avait généré 1,2 milliard de dollars en transactions avant sa chute. Ses successeurs — Hansa, AlphaBay, Hydra — ont tous été fermés à leur tour. Et de nouveaux ouvrent chaque année.
Les données personnelles. C’est le produit le plus courant, de loin. Des listes de millions d’emails avec mots de passe. Des bases de données avec noms, adresses, numéros de téléphone, dates de naissance. Des numéros de carte de crédit avec CVV. Des NAS (numéros d’assurance sociale). Des identifiants bancaires. Tout ça s’achète pour quelques dollars par enregistrement — ou moins.
Les outils de piratage. Ransomware-as-a-service (vous louez un ransomware et payez une commission sur les rançons), kits de phishing prêts à l’emploi, exploits zero-day, accès à des réseaux d’entreprises déjà compromis.
Les forums de discussion. Des communautés sur la sécurité informatique, l’anonymat, la politique. Certains sont légaux, d’autres sont des places de marché déguisées.
Ce qui existe aussi (légalement)
Pas tout sur le dark web est criminel, loin de là.
Des journalistes et des lanceurs d’alerte l’utilisent pour communiquer dans des pays autoritaires. Le New York Times, BBC et Deutsche Welle ont des versions .onion officielles. SecureDrop — le système de soumission de documents pour les journalistes — tourne sur Tor.
Des gens dans des pays comme l’Iran, la Russie ou la Chine l’utilisent pour accéder à Facebook ou à des informations censurées. Des militants politiques et des défenseurs des droits humains y communiquent.
La CIA a même son propre site .onion pour recevoir des informations de façon sécurisée.
Donc la nuance existe. Mais pour la plupart des gens ordinaires, le dark web n’apporte rien qu’un bon VPN + navigateur privé ne peut déjà offrir — avec beaucoup moins de risques.
Comment vos données se retrouvent sur le dark web
Vous n’avez pas besoin d’aller sur le dark web pour que vos données s’y retrouvent. Elles arrivent là sans vous.
Le parcours typique d’une brèche de données
- Une entreprise se fait pirater — une boutique en ligne, une application mobile, un service RH, une chaîne de resto.
- Les pirates extraient la base de données : emails, mots de passe (souvent mal chiffrés), informations personnelles.
- Ils essaient d’utiliser les credentials eux-mêmes — ou vendent la base.
- La base circule d’abord sur des forums privés, puis devient publique après quelques mois.
- Des agrégateurs compilent des dizaines de brèches ensemble — “combo lists” de 100 millions de comptes — vendus pour 20 $.
- Des criminels utilisent ces listes pour du credential stuffing (tester vos identifiants sur Desjardins, Netflix, Amazon) ou pour des arnaques ciblées.
Les brèches qui vous touchent directement au Québec
- Bell Canada (2017) — 1,9 million de clients exposés
- Desjardins (2019) — 9,7 millions de membres, la pire brèche de l’histoire canadienne
- Capital One Canada (2019) — 6 millions de Canadiens
- LifeLabs (2019) — 15 millions de patients, données médicales
- Groupe TVA / Québecor (2021) — informations employés et clients
- LinkedIn (2021) — 700 millions de comptes dans le monde, incluant des centaines de milliers de Québécois
Si vous avez un compte sur l’un de ces services depuis avant ces dates, des données vous concernant circulent quelque part.
Comment accéder au dark web : la mécanique réelle
Je vais vous expliquer comment ça fonctionne — pas pour vous guider là-dedans, mais parce que comprendre la technologie démystifie le tout.
Tor : l’outil principal
Tor (The Onion Router) a été créé dans les années 1990 par la Marine américaine pour des communications sécurisées. Il a été rendu public et est maintenant géré par une organisation à but non lucratif.
Le principe est simple à comprendre : au lieu d’aller directement d’un point A à un point B sur internet, votre trafic passe par au moins trois ordinateurs intermédiaires (des “relais”) gérés par des bénévoles partout dans le monde. À chaque relai, une couche de chiffrement est retirée — comme éplucher un oignon — et le relai suivant ne connaît que l’adresse du relai précédent et du suivant. Jamais le point de départ ET la destination en même temps.
Résultat : le site que vous visitez ne connaît pas votre adresse IP. Votre fournisseur internet voit que vous utilisez Tor, mais ne voit pas ce que vous demandez.
Le navigateur Tor
Pour utiliser Tor, vous téléchargez le Tor Browser — c’est une version modifiée de Firefox, disponible gratuitement sur torproject.org. Ça ressemble à un navigateur ordinaire. Vous l’ouvrez, vous attendez quelques secondes que la connexion s’établisse, et vous pouvez naviguer.
Les sites en .onion ne sont accessibles qu’avec ce navigateur. Ils n’ont pas d’adresse IP fixe et ne sont pas indexés par Google.
Pourquoi ça ne vous rend pas invisible
Utiliser Tor ne vous rend pas parfaitement anonyme. Plusieurs points de friction existent :
Le nœud de sortie. Le dernier relai avant la destination voit votre trafic en clair (si vous visitez un site HTTP non chiffré). Des agences gouvernementales gèrent des nœuds de sortie pour surveiller le trafic.
Votre comportement. Si vous vous connectez à votre compte Facebook ou Gmail via Tor, vous venez d’associer votre identité réelle à votre session anonyme.
JavaScript. Le Tor Browser désactive JavaScript par défaut pour les sites .onion. Beaucoup de gens l’activent pour que les sites fonctionnent — et exposent des informations sur leur système.
Les téléchargements. Tout document téléchargé sur le dark web peut contenir des traceurs ou des logiciels malveillants qui s’exécutent en dehors de Tor et révèlent votre vraie IP.
Timing attacks. Des adversaires capables de surveiller l’entrée ET la sortie du réseau Tor peuvent corréler les délais pour identifier qui se connecte à quoi. C’est rare, mais c’est utilisé par des agences gouvernementales.
Les vrais risques si vous y allez
Certains y vont par curiosité. C’est humain. Mais voici ce que la plupart des guides ne mentionnent pas clairement.
Les malwares sont partout
Sur le dark web, il n’y a pas d’App Store, pas de certification, pas d’avis vérifiés. Les sites peuvent injecter du code malveillant dans votre navigateur. Des “marchés” entiers sont de faux sites créés uniquement pour voler de la crypto aux acheteurs. Des fichiers “documents PDF” sont en réalité des exécutables.
Des chercheurs en sécurité qui analysent régulièrement les sites .onion actifs estiment qu’une majorité d’entre eux contiennent du contenu malveillant ou servent de pièges à phishing — soit des faux marchés qui volent votre crypto, soit des pages qui injectent du code dans votre navigateur.
Les arnaques sont la norme
Il n’y a pas de recours. Vous payez en crypto, vous ne recevez rien, et il n’y a personne à appeler. Les “exit scams” sont courants : un marché accumule des dépôts d’acheteurs pendant des semaines, puis disparaît avec la caisse. Ça s’est passé avec Sheep Marketplace (6 millions $), Evolution (12 millions $), et des dizaines d’autres.
La surveillance est réelle
Le fait que Tor soit légal ne veut pas dire que la GRC ou la NSA ne s’y intéresse pas. Au contraire. Des opérations policières majeures ont fermé des marchés entiers en infiltrant les administrateurs, en contrôlant des nœuds de sortie, ou en utilisant des failles dans les paiements crypto. Des centaines d’acheteurs ordinaires ont été arrêtés parce que leurs transactions crypto ont pu être retracées.
En mai 2023, l’opération SpecTor (GRC + FBI + Europol) a mené à 288 arrestations dans 9 pays — dont des acheteurs ayant commandé pour quelques centaines de dollars de produits. La crypto n’est pas aussi anonyme qu’on le croit : les transactions Bitcoin sont traçables sur la blockchain, et les enquêteurs s’en servent systématiquement.
Le contenu légalement dangereux
Certains coins du dark web hébergent du contenu illégal — et simplement y accéder par accident peut vous mettre dans une position délicate légalement. Les forces de l’ordre surveillent activement les adresses IP qui se connectent à certains sites, même via Tor.
C’est légal au Canada ? La zone grise à connaître
Accéder au dark web avec Tor n’est pas illégal au Canada. Utiliser Tor n’est pas illégal. Naviguer sur des sites .onion de presse, de discussion, ou de services légitimes n’est pas illégal.
Ce qui est illégal, c’est ce que vous y faites :
- Acheter ou vendre des drogues — Code criminel, articles 5-7 de la LRCDAS
- Acheter des données volées, des identités, des cartes de crédit — fraude, vol d’identité
- Accéder à du contenu d’exploitation sexuelle d’enfants — crime grave, peines sévères
- Commander des services criminels — complicité ou conspiration
- Acheter ou vendre des armes illégales
Votre fournisseur internet (Bell, Videotron, Rogers, Telus) peut voir que vous utilisez Tor. Ce n’est pas une raison d’être poursuivi, mais c’est visible. Si vous étiez sous enquête pour une autre raison, ça pourrait alimenter un dossier.
Conclusion pratique : la navigation légale sur Tor est tolérée. Mais la ligne entre légal et illégal est mince, et l’environnement est conçu pour vous faire glisser vers des activités qui ne le sont pas.
Les 10 types de données les plus vendues sur le dark web en ce moment
Pour rendre ça concret, voici ce qui s’achète et se vend activement sur les marchés criminels du dark web en 2026. Avec les prix réels. Parce que voir votre vie numérique sous forme de catalogue change la perspective.
1. Identifiants bancaires en ligne — 40 $ à 200 $ Votre nom d’utilisateur et mot de passe pour votre compte Desjardins, TD, RBC. Le prix varie selon le solde du compte. Un compte avec 10 000 $ disponibles se vend plus cher qu’un compte presque vide.
2. Numéros de carte de crédit avec CVV — 5 $ à 25 $ Votre numéro de carte, date d’expiration, CVV au dos, et parfois l’adresse de facturation. Suffisant pour des achats en ligne. Les cartes avec limite élevée coûtent plus cher.
3. “Fullz” (profil complet) — 15 $ à 40 $ Nom complet, date de naissance, NAS, adresse, numéro de téléphone, email. Tout ce qu’il faut pour usurper votre identité et ouvrir du crédit, déposer une déclaration de revenus frauduleuse, ou demander des prestations gouvernementales en votre nom.
4. Accès à des comptes Netflix, Disney+, Spotify — 1 $ à 4 $ Peu cher, revendu en masse. Surtout utilisé pour profiter de l’abonnement, mais aussi comme base pour des attaques de credential stuffing sur d’autres plateformes.
5. Comptes courriel compromis — 1 $ à 10 $ Votre boîte courriel est une clé maîtresse. Quelqu’un qui a accès à votre Gmail peut réinitialiser le mot de passe de presque tous vos autres comptes.
6. Comptes de réseaux sociaux — 5 $ à 30 $ Surtout les comptes avec ancienneté et abonnés — utilisés pour de la désinformation, des escroqueries, ou du spam.
7. Passeports et permis de conduire scannés — 10 $ à 50 $ Des scans de documents d’identité, parfois retouchés avec de nouveaux noms. Utilisés pour passer des vérifications d’identité en ligne.
8. Dossiers médicaux — 250 $ à 1 000 $ Le dossier médical est le plus cher. Il contient tout : diagnostics, traitements, assurances, informations personnelles. Utilisé pour de la fraude d’assurance ou pour faire chanter des gens.
9. Données d’entreprises — prix variable (milliers à dizaines de milliers de dollars) Accès à des réseaux internes, emails d’entreprises, données de clients. Les PME sont des cibles fréquentes parce qu’elles ont moins de défenses.
10. Kits de phishing clés en main — 20 $ à 200 $ Tout ce qu’il faut pour monter une arnaque : fausse page de connexion Desjardins, faux email Bell, faux SMS Revenu Québec. Livré avec instructions. Zéro compétence technique requise.
Ce qui devrait vous marquer dans cette liste : la plupart de ces données viennent de brèches de sécurité chez des tiers — pas de vos propres erreurs. Vous faites confiance à une entreprise avec vos données, elle se fait pirater, et vos informations se retrouvent dans ce catalogue sans que vous ayez eu le moindre mot à dire.
C’est pour ça que la prévention active — vérifier vos expositions, changer vos mots de passe, activer le 2FA — est votre seule vraie ligne de défense.
Ce que vous pouvez faire sans jamais y mettre les pieds
La bonne nouvelle : les protections les plus importantes contre les menaces du dark web ne nécessitent pas d’y aller.
1. Vérifiez si vos données y circulent déjà
Allez sur haveibeenpwned.com maintenant. Entrez votre adresse courriel principale. En 30 secondes, vous saurez si elle a été exposée dans une brèche connue, et dans laquelle.
Si votre email y apparaît : ne paniquez pas, mais agissez.
- Changez votre mot de passe sur le service concerné
- Si vous réutilisez ce mot de passe ailleurs, changez-le partout — priorité : banques, Desjardins, courriel, gouvernement
- Activez l’authentification à deux facteurs sur vos comptes importants
2. Arrêtez de réutiliser les mots de passe
C’est le vecteur d’attaque numéro un. Si votre mot de passe LinkedIn de 2021 est le même que votre mot de passe Desjardins — vous avez un problème. Parce que le mot de passe LinkedIn a été volé. Il circule. Des gens le testent automatiquement sur des centaines de sites financiers.
Un gestionnaire de mots de passe (Bitwarden est gratuit et excellent) génère et mémorise des mots de passe uniques pour chaque site. C’est le changement d’habitude numérique le plus impactant que vous puissiez faire.
3. Activez le 2FA partout où c’est disponible
L’authentification à deux facteurs — ce code à 6 chiffres que vous recevez par SMS ou sur une application comme Authenticator — empêche quelqu’un de se connecter à votre compte même s’il a votre mot de passe. Activez-le sur : votre courriel, vos comptes bancaires, votre compte Google, Apple, Microsoft, et vos réseaux sociaux.
Préférez une application (Google Authenticator, Aegis, Authy) au SMS — les SMS peuvent être interceptés via SIM swapping.
4. Gelez votre dossier de crédit
Si votre NAS (numéro d’assurance sociale) a été exposé dans la brèche Desjardins ou LifeLabs, un criminel peut tenter d’ouvrir du crédit en votre nom. Un gel de crédit chez Equifax et TransUnion est gratuit au Canada et empêche l’ouverture de tout nouveau dossier sans votre autorisation explicite.
C’est une protection puissante contre le vol d’identité financière.
5. Surveillez vos comptes régulièrement
Configurez des alertes de transaction sur votre compte bancaire — toutes les transactions, pas seulement les grosses. Une carte de crédit compromise se détecte souvent par de petites transactions tests de 1-2 $ avant une grosse fraude.
Vérifiez votre rapport de crédit une fois par an — gratuitement sur equifax.ca et transunion.ca (section “rapport gratuit”).
6. Méfiez-vous des courriels qui suivent une brèche
Après une brèche connue, les arnaqueurs envoient des courriels en se faisant passer pour la compagnie concernée (“Suite à notre incident de sécurité, veuillez vérifier votre compte ici”). C’est du phishing qui exploite l’anxiété créée par la brèche. N’allez jamais sur votre compte en cliquant dans un courriel — tapez l’adresse directement dans votre navigateur.
Faut-il vraiment avoir peur du dark web ?
La honnête réponse : ni plus ni moins que de n’importe quelle autre menace numérique.
Le dark web n’est pas une créature qui vient vous chercher. C’est une infrastructure que des criminels utilisent — comme ils utilisent aussi des emails ordinaires, des appels téléphoniques, et des SMS. La plupart des fraudes qui vous touchent directement (phishing, SIM swapping, vol d’identité, ransomware) ne nécessitent pas que quelqu’un aille sur le dark web. Les outils et les données disponibles là-bas finissent par être utilisés sur des canaux bien plus ordinaires.
Ce qui compte, c’est votre surface d’attaque personnelle : mots de passe réutilisés, absence de 2FA, NAS exposé, clic trop rapide sur un lien suspect. Ce sont ces habitudes que les criminels exploitent, dark web ou pas.
Mon opinion après 12 ans dans ce domaine : le dark web est surestimé comme menace directe pour le citoyen moyen. Les vraies menaces — phishing, réutilisation de mots de passe, SIM swapping — se passent entièrement en surface. Le dark web est l’entrepôt. Le crime, lui, se passe dans votre boîte courriel.
Comprendre ce qu’est le dark web vous aide à réaliser que les vraies protections sont banales : des bons mots de passe, du 2FA, un peu de scepticisme face aux courriels non sollicités. Pas besoin d’être un expert en sécurité. Pas besoin d’y aller pour voir.
Si vous voulez aller plus loin et voir si vos données circulent activement, c’est maintenant que vous ouvrez un onglet sur haveibeenpwned.com. Dix secondes. Et vous saurez.
