On fantasme souvent ce marché comme une “place du dark web” où tout s’achète en crypto, dans une ambiance de film noir. En réalité, c’est beaucoup plus banal — et donc plus dangereux : un commerce structuré, avec des vendeurs, des intermédiaires, des garanties, des litiges, des promotions, des abonnements, et une logique produit. Le vrai sujet n’est pas “où ça se passe”, mais comment c’est industrialisé.
Une fuite de données devient une marchandise quand elle peut être triée, emballée, vendue et réutilisée. Et c’est précisément ce que ces marketplaces optimisent : transformer un incident en inventaire.
Ce qui se passe vraiment : une chaîne de valeur, pas un coup unique
Le vol n’est souvent que la première étape. Ensuite viennent la normalisation (mettre en forme), l’enrichissement (ajouter des infos), la segmentation (découper en lots), puis la distribution (vente directe, revente, bundles). À ce stade, l’attaquant ne raisonne plus comme un “pirate”, il raisonne comme un commerçant : réduire les coûts, augmenter la confiance, maximiser le volume, minimiser les litiges.
C’est pour ça que l’économie des données volées résiste dans le temps : elle ne dépend pas d’un seul événement spectaculaire, mais d’un flux continu de matière première.
Modèle économique : la donnée comme produit, l’accès comme service
Il existe deux grands moteurs de revenus.
Le premier, c’est la vente “à l’acte” : un lot de données est vendu comme un fichier ou un accès ponctuel. Le prix dépend moins de la quantité que de l’exploitabilité : données fraîches, identifiants valides, présence de cookies/tokens, qualité des champs, et utilité immédiate (comptes pro, finance, SaaS, etc.). Une base énorme mais mal structurée peut valoir moins qu’un lot plus petit mais propre et actionnable.
Le second, plus stable, c’est l’abonnement. Là, on ne vend plus seulement des données : on vend une continuité. Accès à des dépôts mis à jour, à des recherches, à des “drops” réguliers, parfois avec des paliers (bronze/silver/gold). Ce modèle est rentable parce qu’il convertit le crime en revenu récurrent, et il fidélise l’acheteur : on ne “revient” plus, on “reste”.
À côté, il y a un troisième mécanisme, plus discret : l’affiliation et l’intermédiation. Certains acteurs ne “volent” pas ; ils agrégeraient, revendraient, commissionneraient, ou fourniraient l’infrastructure et prendraient leur part. Dans un marché, celui qui contrôle la distribution contrôle souvent la marge.
Segmentation des données : la clé de la monétisation
Une donnée brute est difficile à vendre. Une donnée segmentée est un produit.
La segmentation se fait selon des critères simples, mais redoutablement efficaces :
- Fraîcheur : plus c’est récent, plus c’est exploitable (mots de passe changés, sessions expirées, comptes verrouillés).
- Contexte : particulier vs entreprise, secteur, pays, langue, type de service (messagerie, RH, CRM, finance).
- Valeur d’accès : comptes avec privilèges, accès administrateur, comptes liés à une organisation, accès cloud.
- Qualité : présence de champs structurés, cohérence, doublons éliminés, format uniforme.
- Actionnabilité : données qui permettent une action immédiate (prise de compte, phishing ciblé, fraude), versus données “historiques” utilisées surtout pour enrichir des profils.
Cette segmentation explique pourquoi la même fuite peut réapparaître sous plusieurs formes : le “gros dump” public d’un côté, puis des lots plus propres, triés, et plus chers de l’autre. Le marché vend la commodité, pas uniquement la donnée.
Pourquoi les abonnements changent la menace
L’abonnement industrialise deux choses : la cadence et la sélection.
La cadence, parce que la valeur vient du flux : un client paye pour être alimenté, pas pour un coup de chance. La sélection, parce que l’abonné veut réduire son propre coût : moins de tri manuel, plus de ciblage, plus de “prêt à l’emploi”. C’est là que le risque augmente pour les entreprises : l’attaquant n’a plus besoin de faire du volume à l’aveugle, il peut faire du ciblage.
Et cela explique un point que beaucoup sous-estiment : une organisation peut souffrir d’une fuite même si ses données ne sont pas “spectaculaires”. Si elles s’intègrent bien dans des segmentations et des enrichissements, elles deviennent utiles.
Les signaux “marchands” qui révèlent la maturité du marché
Un marché de données volées fonctionne parce qu’il reproduit des éléments de confiance qu’on retrouve partout : réputation, évaluations, arbitrage, “preuves” de qualité. C’est cynique, mais logique. Sans mécanisme de confiance, l’acheteur se fait arnaquer en permanence et le marché s’effondre.
Ce qui doit vous intéresser, côté défense, ce n’est pas le folklore. C’est ce que ces mécanismes indiquent : la professionnalisation. Plus le commerce est structuré, plus il devient accessible à des acteurs médiocres. Et plus il devient accessible, plus le volume d’attaques opportunistes augmente.
Exigence : la conclusion qui évite le contresens
Le commerce de données volées ne repose pas sur la “magie du dark web”. Il repose sur une logique banale : transformer une fuite en produit, puis le produit en revenu récurrent. Le danger n’est pas seulement la fuite initiale, mais la capacité du marché à découper, enrichir et redistribuer ces données pendant des mois.
La bonne question n’est donc pas “est-ce que nos données ont été publiées ?”. La question utile est : à quel point nos données sont actionnables, et combien de temps elles le resteront ?
