À quoi ressemble réellement le comportement des vendeurs parmi 7 314 vendeurs – et pourquoi le même nom sur onze marchés ne signifie pas ce à quoi vous vous attendez.
03 juin 2026
Sur les 7 314 fournisseurs actifs sur les marchés du darknet entre janvier et avril 2026, plus de 2 000 ont publié exactement une seule annonce. Plus de 1 000 autres n’en ont posté que deux. La distribution a une longue traîne : la grande majorité des comptes sont éphémères, à faible volume et individuellement peu informatifs. Ils apparaissent et disparaissent sans accumuler suffisamment d’activité pour être caractérisés.
Il s’agit de la condition de base des données des fournisseurs du darknet. Il s’agit en grande partie de bruit. Ce qui est utile sur le plan opérationnel est concentré dans une population plus restreinte de vendeurs très actifs dont le comportement est suffisamment soutenu pour être analysé – et dont les modèles persistent au fil des migrations, des changements de marque et des changements de plateforme.
Parmi les 285 vendeurs qui ont publié plus de 50 nouvelles annonces au cours de la période, deux constats ressortent.
Les vendeurs de médicaments se spécialisent. Les vendeurs de fraude se diversifient.
Le premier constat concerne la spécialisation. Les vendeurs de médicaments, dans l’ensemble, sont plus ciblés que toute autre catégorie de vendeurs. Les vendeurs de cannabis constituent le cas extrême : la plupart concentrent 90 % ou plus de leur activité sur les listings de cannabis, avec presque rien d’autre. Les spécialistes des stimulants et les spécialistes des opioïdes sont presque aussi concentrés : un vendeur qui vend des stimulants vend rarement des psychédéliques ou des opioïdes à un volume significatif, même dans la catégorie plus large des drogues.
Ce modèle est utile sur le plan analytique. Un vendeur de cannabis avec 200 annonces est exposé au maximum dans une seule catégorie de produits. Leur profil est facile à reconnaître, à suivre sur toutes les plateformes et à distinguer des vendeurs qui ont quelques listes de cannabis aux côtés d’autres stocks.
Il existe des vendeurs de drogues à large spectre – ceux qui distribuent des stimulants, des opioïdes, des psychédéliques et d’autres sous-catégories – mais ils sont moins courants. Lorsqu’elles apparaissent, la diversité elle-même est un signal. Les fournisseurs qui s’approvisionnent dans plusieurs classes de médicaments opèrent généralement à plus grande échelle ou disposent de chaînes d’approvisionnement plus diversifiées que les spécialistes d’une seule substance.
Les vendeurs de fraude sont structurellement différents. Le fournisseur typique de fraude à haute activité s’étend aux instruments financiers, aux documents d’identité, aux comptes compromis et parfois aux outils de piratage au sein du même portefeuille. Cette ampleur est cohérente avec des opérations organisées qui s’approvisionnent à travers plusieurs pipelines : pas un seul individu avec un produit spécifique, mais un ensemble coordonné de relations d’approvisionnement. Un enquêteur traitant un vendeur frauduleux de la même manière qu’un vendeur de médicaments – en recherchant une concentration de catégories étroites – interprétera mal le profil.
Le problème du nom d’utilisateur
Le deuxième constat concerne l’identité. Les fournisseurs du Darknet réutilisent régulièrement les noms d’utilisateur sur toutes les plateformes, et d’autres fournisseurs enregistrent indépendamment des noms identiques sur des marchés où ces noms ne sont pas utilisés. Le résultat est qu’un nom d’utilisateur, à lui seul, est un identifiant ambigu.
Le nom d’utilisateur Victorviran apparaît sur onze marchés au cours de la période janvier-avril. C’est un exemple instructif car la divergence comportementale entre ces onze comptes est frappante.
Trois des comptes – sur WarpZone, Atlas Market et Nexus Market – affichent des empreintes digitales presque identiques : presque entièrement des comptes et des informations d’identification, avec une activité minimale dans les autres catégories. La similarité structurelle entre les plates-formes est trop étroite pour être une coïncidence. Ces comptes sont vraisemblablement le même opérateur maintenant une présence parallèle sur plusieurs marchés. Le compte Stargate du même nom a élargi son profil pour inclure des outils de piratage aux côtés des informations d’identification – soit une évolution de la même opération, soit un acteur étroitement lié.
Il existe ensuite des comptes portant le même nom qui vendent principalement de la fraude financière, sans chevauchement significatif avec les comptes axés sur les informations d’identification. Et au moins un Victorviran compte dont les inscriptions sont des médicaments. Le profil ne ressemble en rien aux autres.
L’inverse de ce problème est tout aussi important et, à certains égards, plus utile aux enquêteurs. Différents fournisseurs opérant sous des noms différents peuvent produire des empreintes digitales presque identiques : même répartition par catégorie, même accent sur les sous-catégories, volumes de référencement similaires. Lorsqu’un fournisseur migre d’un marché effondré vers une nouvelle plateforme sous un nouveau nom d’utilisateur, l’empreinte digitale suit souvent.
C’est là que la recherche de similarité entre les marchés devient pertinente sur le plan opérationnel. À partir d’un profil de fournisseur connu (par exemple, un distributeur de médicaments confirmé sur un marché qui a depuis fermé ses portes), vous pouvez calculer la similarité des empreintes digitales de tous les fournisseurs sur les marchés actuellement actifs et faire apparaître des comptes dont les profils comportementaux correspondent étroitement. Le nom est différent. Le comportement ne l’est pas.
Dans le Victorviran réseau de similarité, les profils les plus correspondants incluent les comptes qui partagent le nom d’utilisateur. Mais ils incluent également des comptes qui ne le sont pas. La recherche par empreinte digitale trouve les deux, et la recherche par nom d’utilisateur à elle seule manquerait complètement ce dernier.
Ce que les empreintes digitales des fournisseurs vous disent réellement
Le cadrage opérationnel est ici important. Les empreintes digitales sont un signal de similarité et non un mécanisme d’attribution. Deux fournisseurs avec des répartitions de catégories identiques ne sont pas nécessairement la même personne. Mais les fournisseurs ayant des empreintes digitales très similaires, apparaissant sur différentes plates-formes dans des fenêtres temporelles qui se chevauchent, méritent d’être traités comme liés jusqu’à ce que des preuves suggèrent le contraire. L’alternative – traiter chaque nouveau nom d’utilisateur comme un nouvel acteur – sous-estime la continuité dans un écosystème où la continuité est délibérément obscurcie.
Les modèles de spécialisation comptent également. Un vendeur qui vend à 95 % du cannabis n’est pas un distributeur généraliste de médicaments qui vend du cannabis. Il s’agit d’un opérateur spécialisé dans le cannabis, et son profil d’enquête devrait le refléter. Un vendeur frauduleux qui combine des documents d’identité, des instruments financiers et des outils de piratage dans un seul portefeuille n’est pas un vendeur individuel opportuniste : l’ampleur implique un accès à la chaîne d’approvisionnement qu’une seule personne n’a généralement pas.
Sept mille fournisseurs, c’est trop pour pouvoir les gérer manuellement. Le regroupement basé sur les empreintes digitales réduit cette population à des groupes significatifs : les spécialistes du cannabis qui se regroupent par comportement, les vendeurs d’informations d’identification qui se ressemblent sur toutes les plateformes, les opérations frauduleuses à large spectre qui se distinguent de tout le reste. Les 285 fournisseurs très actifs ne sont pas représentatifs des 7 314 : ils constituent un type d’acteur différent et leur analyse en tant que population distincte fait apparaître des modèles que l’ensemble des données obscurcit.
Analyse basée sur l’ensemble de données DarkMart de Illicit Trade FR, couvrant 7 314 fournisseurs actifs sur 53 marchés de janvier à avril 2026. Les empreintes digitales des fournisseurs sont dérivées de distributions de catégories normalisées sur toutes les listes associées à chaque fournisseur au cours de la période. Les fournisseurs très actifs sont définis comme ceux qui ont enregistré 50 nouvelles inscriptions ou plus au cours de la fenêtre d’observation.
