Les compétences IT au cœur des stratégies du dark web

Le dark web s’organise comme un véritable marché de l’emploi, avec fiches de poste et salaires, à destination de certains profils IT. Développeurs web, attaquants et concepteurs logiciels font partie des profils les plus recherchés par les groupes cybercriminels. Une économie souterraine structurée, qui révèle l’industrialisation croissante des activités illicites en ligne.

Grâce à une série d’opérations menées par les forces de l’ordre, les écosystèmes liés au trafic de drogue et à la fraude en ligne ont fortement été bousculés en 2024, en baisse par rapport à 2023. Selon les données du rapport « 2025 Crypto Crime Report » de Chainalysis, les flux entrants vers les places de marché du darknet (DNM) et les boutiques spécialisées dans la fraude ont diminué en 2024. Les DNM ont ainsi reçu un peu plus de deux milliards de dollars en BTC sur la blockchain, et les boutiques de fraude 225 millions de dollars.

Flux entrants vers les places de marché du darknet et les boutiques de fraude de 2020 à 2024 © Chainalysis

Les DNM et les boutiques de fraude ne sont qu’une partie de l’activité issue du dark web. Pour être exhaustif, il faut également prendre en considération les systèmes Ponzi (montage financier frauduleux de type cavalerie), les arnaques sentimentales, le support frauduleux (faux services d’assistance), les piratages DeFi (smart contracts vulnérables), le vol de clés privées (phishing), les ransomwares, le blanchiment (échanges non régulés), l’évasion de sanctions (transferts vers des pays faisant l’objet de restrictions)… Toujours selon Chainalysis, le volume des crypto-monnaies échangées en 2024 par les acteurs de la cybercriminalité a été de 40,9 milliards de dollars (mais avec une estimation plus réaliste à 51,3 milliards). Ces 40,9 milliards de dollars représentent 0,14% de l’ensemble des transactions réalisées en crypto-monnaies en 2024 (contre 0,61% en 2023).

Montants des cryptomonnaies liées aux activités illicites du dark web de 2020 à 2024 © Chainalysis

Les compétences recherchées sont très diversifiées

Achat et vente de substances illégales, vol de données, services de piratage… La très grande variété des activités frauduleuses provenant du dark web entraîne un besoin en compétences elles aussi très diversifiées. Dans un rapport datant de 2023, l’équipe Digital Footprint Intelligence de Kaspersky a étudié le marché de l’emploi spécifique au dark web, analysant quelque 200 000 annonces publiées. Les professionnels les plus recherchés par la communauté cybercriminelle se trouvent être les profils de développeurs, d’attaquants et de concepteurs.

Les salaires proposés par les cybercriminels comportent-ils une prime de risque pour activités illégales ? Pas vraiment. Les niveaux de rémunération médians étudiés se situent entre 1 300 et 4 000 dollars par mois, le salaire médian le plus élevé étant proposé aux profils de rétro-ingénieurs (4 000 dollars). « Les développeurs sont les spécialistes les plus recherchés sur le darknet, représentant 61 % de l’ensemble des annonces. Parmi eux, les développeurs web, essentiels à l’élaboration de divers produits numériques, à l’image des pages de phishing, sont les plus recherchés (60 % des offres de développeurs). Les spécialistes des malwares sont également appréciés. Cette description de poste peut inclure le développement de chevaux de Troie, de ransomwares, de portes dérobées, de botnets et d’autres types de logiciels malveillants, ainsi que la création et la modification de vecteurs d’attaque », déclare-t-on chez Kaspersky.

Salaires mensuels médians des informaticiens sur le dark web © Kaspersky

Les « attaquants », dont la spécialité est de mener des attaques sur les réseaux, les applications web et les appareils mobiles, sont le deuxième poste le plus recherché sur le marché de l’emploi cybercriminel, avec 16 % des annonces. Le poste se rapprochant le plus d’un emploi légitime dans ce cadre est le métier de pentester. « La plupart des emplois d’attaquants sur le darknet sont associés à des activités visant à compromettre l’infrastructure des entreprises. Les objectifs de ces activités sont la diffusion de ransomware, le vol de données ou encore le vol d’argent directement sur des comptes compromis. Certains groupes cybercriminels recrutant des attaquants ont pour objectif de vendre l’accès à des systèmes compromis à d’autres entités cybercriminelles, ou de pirater des applications Web et mobiles », note Kaspersky.

Avec 10 % des annonces, les concepteurs sont la troisième catégorie professionnelle la plus demandée. Les concepteurs sont généralement en charge de créer un produit malveillant, tel qu’une page ou une lettre de phishing, qui serait difficile à distinguer de sa version légitime. Sur le dark web, les recruteurs recherchent également des administrateurs informatiques, des analystes, des testeurs et d’autres profils de professionnels informatiques moins répandus : ingénieurs et architectes, agents de maintenance, rédacteurs techniques, modérateurs de forum ou encore des cadres et des chefs de projet.

« La recherche de profils spécialisés dans l’IT est l’un des nombreux sujets constamment discutés sur le dark web. Pour les entreprises qui veulent réagir de manière proactive aux cyberattaques et maintenir leur sécurité informatique au plus haut niveau, il est aujourd’hui essentiel de suivre les intérêts de la communauté cybercriminelle et d’analyser leurs activités en continu. Plus vous en savez sur votre adversaire, mieux vous êtes préparé », déclare Polina Bochkareva, analyste des services de sécurité chez Kaspersky.

Forums underground, vraies annonces… Tout est bon pour recruter

Pour parvenir à leurs fins et recruter les bonnes compétences, les groupes cybercriminels publient des milliers d’annonces sur des forums underground et des places de marché du dark web. Mais il leur arrive aussi de publier de vraies annonces légales, assorties d’un véritable contrat de travail, des congés payés et une assurance maladie. Il s’agit généralement de postes destinés aux développeurs ayant fait des études ou aux personnels bancaires, mais cela concerne aussi les spécialistes d’un domaine précis.

La plupart du temps, la réalité est bien moins alléchante. Parfois, le contrat consiste simplement à effectuer une succession de tâches rémunérées. Certains autres recruteurs proposent quant à eux de reverser un pourcentage des « bénéfices » liés aux opérations menées, ce qui inclut notamment le paiement de la rançon, quand un rançongiciel parvient à piéger sa victime.

De manière générale, ce sont les conditions de vie qui amènent les candidats à se tourner vers le marché clandestin de l’emploi. En mars 2020, lorsque le premier confinement lié à la crise sanitaire a été décrété, beaucoup de profils – privés de leurs sources de revenus habituels – se sont tournés vers ces offres illégales. Parmi les demandeurs d’emploi du dark web figurent aussi des candidats qui désespèrent de trouver un travail correspondant à leur niveau d’études et qui espèrent le trouver sur le marché clandestin. Les personnes qui essaient de couper tout lien avec le gouvernement et/ou de ne pas payer d’impôts font également partie des candidats potentiels. Enfin, les profils rencontrant certaines difficultés (casier judiciaire, immigrant illégal, pas d’étude ou mauvaise réputation au sein de la communauté informatique) peuvent aussi succomber à la tentation.
« Les risques associés à une activité criminelle sont toujours plus importants que les éventuels bénéfices. Les groupes de cybercriminels sont pris pour cibles et désanonymisés partout dans le monde, et les chances de s’en sortir indemnes sont très faibles. En plus de la possibilité réelle de passer un certain temps en prison, les offres ne garantissent pas un paiement ponctuel, ou tout simplement le versement du salaire », conclut Kaspersky.