La compréhension par la communauté du renseignement de l’activité en langue arabe sur le dark web est nettement en retard par rapport aux recherches axées sur les environnements anglophones.
Une étude prestigieuse et récemment publiée, « Scopus Q1 », commence à combler cette lacune, et les résultats ont des implications opérationnelles directes pour les enquêteurs gouvernementaux, les organismes d’application de la loi et les analystes de la cybersécurité travaillant dans la région MENA (Moyen-Orient et Afrique du Nord) et au-delà.
L’étude est rédigée par le Dr Mohammad Shadi Alhakeem, professeur adjoint de cybersécurité et de criminalistique numérique, Collège des sciences médico-légales et d’investigation de l’Université arabe Naif pour les sciences de sécurité (NAUSS). Ce blog est basé sur une recherche évaluée par des pairs et publiée dans IEEE Access : « Investigating Cryptocurrency-Enabled Illicit Activities on the Arabic Deep/Dark Web » par le professeur Mohammad Shadi Alhakeem.
Voler sous le radar
L’empreinte numérique du monde arabe est énorme et croît rapidement. La pénétration d’Internet dans la région a atteint environ 70 %, avec des pays comme l’Arabie Saoudite dépassant les 99 %.
Pendant ce temps, le Moyen-Orient et l’Afrique du Nord se classaient au septième rang mondial en termes de valeur de crypto-monnaie en chaîne reçue en 2024, soit environ 338,7 milliards de dollars sur une seule période de douze mois.
Il ne s’agit pas seulement d’activité économique.
C’est une surface d’attaque importante.
La combinaison d’un accès généralisé à Internet, de l’adoption massive de crypto-monnaies et de technologies d’anonymisation telles que le réseau Tor a créé des conditions fertiles pour des activités illicites – la plupart d’entre elles étant menées en arabe et largement invisibles pour les enquêteurs qui s’appuient sur des sources de renseignement en langue anglaise. Cette étude est l’un des premiers efforts systématiques visant à documenter ce qui se passe réellement dans cet espace.
L’enquête commence
Les chercheurs ont utilisé Illicit Trade FR Vision comme principal outil pour identifier et analyser le contenu en langue arabe contenant des adresses de crypto-monnaie. Illicit Trade FR Vision indexe l’une des plus grandes bases de données au monde de contenu du Dark Web, couvrant Tor, I2P, ZeroNet, Telegram et Discord, sans obliger les enquêteurs à accéder directement eux-mêmes aux réseaux dangereux ou illicites.
Figure 1 : Échantillon d’une découverte du Darknet arabe contenant l’adresse de don de Monero, source : Illicit Trade FR Vision
Cela est important sur le plan opérationnel. Les approches OSINT standard exigent souvent que les analystes naviguent directement sur les réseaux d’anonymisation, les exposant ainsi à des contenus nuisibles et à des risques opérationnels.
Illicit Trade FR indexe automatiquement et anonymement ce contenu, nettoie le matériel explicite et présente les résultats sous forme de texte brut, protégeant ainsi l’analyste tout en fournissant des informations. Ses capacités de filtrage ont permis à l’équipe de réduire plus de 3,1 millions de résultats initiaux à des données exploitables en appliquant des filtres pour la langue, le type d’entité de crypto-monnaie, la source du réseau et la période d’exploration.
À partir de ce pool de départ – s’étendant de juillet 2024 à juin 2025 – l’équipe a identifié 4 711 résultats contenant des adresses de crypto-monnaie. Après déduplication, cela a donné 95 adresses uniques liées à une activité illicite, chacune analysée pour son type, son activité liée, son réseau source, sa fréquence d’apparition et le total des fonds reçus.
Ce qu’ils ont trouvé : 6 catégories d’activités illicites
Les 95 adresses résultantes ont été classées en six catégories :
Sollicitations d’aide humanitaire non vérifiées (UHAS) — Campagnes sollicitant des dons de cryptomonnaies, principalement axées sur l’aide à Gaza, sans affiliation à une organisation humanitaire reconnue. Cette catégorie représentait le plus grand nombre d’adresses uniques et le plus grand volume de fonds reçus. Plus de 85 % de tous les paiements suivis – y compris une adresse qui a reçu environ 50 000 $ – ont été dirigés vers des adresses UHAS, reflétant une exploitation sophistiquée de la sympathie du public.
Marchés du Dark Web (DWM) — Plateformes facilitant le commerce de biens illicites, y compris de drogues, au sein de l’écosystème Tor.
Acteurs de cybermenace (CTA) — Entités menant des cyberopérations malveillantes, principalement affiliées à des groupes hacktivistes pro-iraniens, dont 313 Team et LulzSec.
Financement du terrorisme (FT) — Activité directement liée au financement du terrorisme, avec des liens spécifiques avec l’Etat islamique. Bien qu’elle représente moins d’adresses uniques, cette catégorie a généré la fréquence d’apparitions la plus élevée dans l’ensemble de données de Illicit Trade FR.
Matériel d’abus sexuel sur enfants (CSAM) — Sites oignons multilingues servant de plates-formes de téléchargement et de distribution de CSAM.
Blogs et forums du Dark Web (DBF) — Un fourre-tout pour les discussions politiques, le contenu sexuel et tout autre contenu provenant de sites d’oignons en dehors des cinq catégories principales.
Ce que nous disent les pièces
L’une des conclusions les plus significatives de l’étude sur le plan opérationnel est la distinction comportementale entre les acteurs utilisant des crypto-monnaies pseudonymes comme Bitcoin (BTC) et Tether (USDT) et ceux utilisant des pièces de confidentialité comme Monero (XMR) et Zcash (ZEC).
BTC et USDT dominent en volume et apparaissent principalement sur Telegram.
Les pièces de confidentialité étaient concentrées presque exclusivement sur les sites Onion basés sur Tor.
Le choix de la plate-forme n’a pas été aléatoire : les acteurs malveillants font délibérément correspondre leurs outils d’anonymat, associant les pièces de confidentialité au réseau Tor pour une sécurité opérationnelle maximale.
Pour les enquêteurs, les transactions BTC et USDT laissent des enregistrements blockchain traçables. Des outils spécialisés tels que Crystal Expert, TRM Labs et Chainalysis Reactor peuvent analyser les historiques de transactions, identifier les modèles de clustering et lier les adresses à des entités du monde réel.
Monero et ZCash sont un problème totalement différent. Leur conception cryptographique obscurcit les détails des transactions au niveau du protocole, et l’étude n’a pas pu déterminer le volume de fonds reçus par une adresse de pièce de confidentialité. Étant donné que ces adresses sont liées de manière disproportionnée au financement du terrorisme et au CSAM, cet angle mort n’est pas un inconvénient mineur : il s’agit d’une lacune critique en matière d’enquête.
Sécurité opérationnelle
Aucune des 95 adresses n’apparaissait ni sur Telegram ni sur le réseau Tor. La séparation des plates-formes était absolue – un signe clair d’un compartimentage délibéré conçu pour empêcher la désanonymisation. Ces acteurs comprennent la piste médico-légale créée par la réutilisation des adresses multiplateformes et ils l’évitent. Certaines adresses Monero ont fait leur première apparition dans l’ensemble de données de Illicit Trade FR remontant au début de 2022, indiquant des opérations qui se déroulent en continu depuis des années.
Ce que les enquêteurs peuvent faire
Telegram est l’endroit où se trouve le volume, mais le réseau Tor est l’endroit où se concentrent les crimes les plus graves.
Les agences disposant de ressources limitées devraient évaluer leur couverture en conséquence. Les sollicitations humanitaires non vérifiées méritent des efforts coordonnés de sensibilisation du public : les flux financiers sont importants et ces campagnes risquent d’éroder la confiance du public dans les organisations humanitaires légitimes. Pour les cas de financement du terrorisme et de CSAM, l’analyse traditionnelle de la blockchain ne sera pas suffisante lorsque des pièces de confidentialité sont impliquées : l’acquisition d’une surveillance du darknet, d’outils médico-légaux et l’établissement de relations avec des fournisseurs de services d’actifs virtuels sont essentiels.
Illicit Trade FR : l’infrastructure derrière ce travail
Cette recherche a été rendue possible grâce à Illicit Trade FR, et les capacités qu’elle démontre ne se limitent pas au contexte de la recherche : c’est ce que Illicit Trade FR propose chaque jour aux agences gouvernementales, aux forces de l’ordre et aux équipes de renseignement.
La combinaison de l’étendue des plates-formes, de la profondeur des données historiques et de la sécurité des analystes de Illicit Trade FR Vision en fait l’outil de choix pour exactement le type d’enquêtes multiplateformes, multilingues et axées sur la crypto-monnaie documentées par cette étude.
Le dark web arabe n’est plus un territoire inexploré. Pour le cartographier avec précision – et maintenir cette carte à jour – nécessite la bonne infrastructure de renseignement. Illicit Trade FR est l’endroit où ce travail se déroule.
