Black Hand : l'histoire de la plus grosse marketplace francophone du dark web

Publié le · Lecture d'environ 12 minutes

Entre avril 2016 et juin 2018, Black Hand a occupé une place singulière dans l'écosystème dark web : celle de la première — et la plus importante — marketplace exclusivement francophone. Pendant que les AlphaBay, Silk Road ou Dream Market s'échangeaient en anglais avec des volumes à sept chiffres, Black Hand revendiquait une niche : le marché français, avec ses codes, sa langue, sa logistique postale spécifique, ses vendeurs régionaux et sa clientèle fidélisée. Deux ans d'activité, 3 000 utilisateurs, une soixantaine de vendeurs majeurs, et une chute spectaculaire le 12 juin 2018, démantelée par la gendarmerie sous la coordination de la section J3 du parquet de Paris. Cet article retrace la chronologie documentée de cette affaire judiciaire majeure de l'histoire cyber française.

⚫ On sait pourquoi tu es là. Ce n'est pas cette page. Accès Tor →

Le contexte : un dark web francophone en friche

Avant Black Hand, le dark web francophone était une zone fragmentée. Quelques forums de discussion (FrenchBB, French Deep Web Forum) permettaient des échanges informels, mais aucune marketplace francophone structurée n'avait réussi à s'imposer. Les vendeurs français opéraient principalement sur les grandes marketplaces anglophones (AlphaBay, Dream Market) en signalant simplement dans leur profil qu'ils expédiaient depuis la France.

Ce dispositif avait deux inconvénients majeurs. Côté vendeur, la barrière linguistique limitait la fidélisation de la clientèle française. Côté acheteur, la logistique postale transfrontalière représentait un risque réel : interception douanière, traçage international, vocabulaire technique en anglais qui pouvait induire en erreur. Un acheteur français préférait de loin un vendeur français avec un colis postal classique à destination d'un département métropolitain.

C'est dans ce vide que Black Hand s'est insérée. Son positionnement marketing était explicite dès les premiers posts sur les forums : « La marketplace pensée pour les francophones. Vendeurs français vérifiés. Expéditions nationales. Interface et support en français. »

Avril 2016 : le lancement de Black Hand

Black Hand ouvre officiellement le 24 avril 2016 via une annonce postée sur French Deep Web Forum. Le site est accessible à une adresse .onion v2 (à l'époque, v3 n'est pas encore généralisée). L'interface est en français, le design sobre et élégant, largement inspiré de l'esthétique AlphaBay mais avec une palette de couleurs propre (noir, rouge, touches dorées).

L'administrateur principal se présente sous le pseudonyme « BlackHandFR ». Les premiers messages sont méthodiques et professionnels : présentation détaillée du système d'escrow, des règles de modération, des critères de sélection des vendeurs (vérification d'un premier envoi fictif avant ouverture du compte commercial), du support client (promesse de réponse sous 12 heures).

Fait notable : BlackHandFR refuse d'emblée plusieurs catégories de produits sur son site. Pas d'armes à feu, pas de contenu pédopornographique (évident), pas de services de tueurs à gages ou de hacking offensif « as a service ». Cette position éditoriale relativement modérée lui gagne une réputation de « marché sérieux » dans la communauté. À l'arrivée, les catégories dominantes sont les stupéfiants (70 % des annonces), les fausses pièces d'identité (15 %), et les données bancaires volées (10 %), plus quelques catégories résiduelles.

Le fonctionnement du site

Sur le plan technique, Black Hand fonctionnait avec une architecture classique de marketplace dark web : interface web sur Tor, escrow multi-signature en Bitcoin, système de retours et de notation des vendeurs, forum communautaire annexe.

Commissions et revenus

  • Commission standard : 3,5 % sur chaque transaction (inférieure aux 4 % d'AlphaBay pour attirer les vendeurs)
  • Caution vendeur (vendor bond) : 800 euros équivalent Bitcoin
  • Annonces « featured » : 50 euros par semaine, plafond de 10 annonces featured par vendeur

Le chiffre d'affaires estimé de la plateforme au pic (été 2017) était d'environ 600 000 à 800 000 euros par mois, générant pour les opérateurs des revenus bruts estimés entre 20 000 et 28 000 euros mensuels. Un niveau modeste comparé à AlphaBay (plusieurs millions par mois) mais très substantiel pour une plateforme de niche linguistique.

Base utilisateurs

Les documents judiciaires ultérieurs ont précisé les volumes : environ 3 000 utilisateurs enregistrés avec activité récente, dont une soixantaine de vendeurs actifs régulièrement. La répartition géographique des acheteurs reflétait la France métropolitaine, avec une surreprésentation des départements d'Île-de-France, des Bouches-du-Rhône, du Nord et du Rhône — typique de la concentration urbaine du marché français.

L'enquête du C3N

L'enquête démarre dès l'automne 2016, quelques mois seulement après le lancement de Black Hand. Elle est confiée au C3N (Centre de lutte contre les criminalités numériques de la gendarmerie nationale), unité spécialisée basée à Pontoise, sous la coordination de la section J3 du parquet de Paris (procureur assistée de juges d'instruction du pôle cybercriminalité).

Infiltration

Deux officiers du C3N ont ouvert des comptes acheteurs sur Black Hand en octobre et novembre 2016, avec des profils créés de toutes pièces (pseudonymes plausibles, historique de forums fabriqué, wallets Bitcoin « propres » préparés avec des achats anodins). Ils ont effectué plusieurs dizaines d'achats de petites quantités auprès de différents vendeurs, documentant à chaque fois :

  • Le processus de commande et le système d'escrow
  • Les techniques de packaging (enveloppes matelassées, vacuum sealing, chimie de masquage d'odeurs)
  • Les parcours postaux depuis le bureau de l'expéditeur
  • La qualité des produits reçus (analysés par les laboratoires de l'IRCGN)

Plus tard, un officier a même ouvert un compte vendeur, vendu de petites quantités de produits vendus par la gendarmerie (avec des traceurs intégrés) pour cartographier le réseau de coursiers aval.

Coopération internationale

Parallèlement, le C3N a travaillé avec Europol et les polices néerlandaise et allemande pour localiser les serveurs physiques de Black Hand. Les infrastructures sont identifiées dans un datacenter aux Pays-Bas (serveur principal) et en Roumanie (miroir de secours). Une commission rogatoire internationale est délivrée au printemps 2018 pour préparer la saisie coordonnée.

Analyse blockchain

Les wallets Bitcoin utilisés par les opérateurs ont été tracés via la collaboration de Chainalysis et de la cellule TRACFIN du Trésor français. Cette analyse a permis d'identifier plusieurs adresses de sortie utilisées par BlackHandFR pour convertir les revenus de la plateforme — notamment via des petits exchanges européens moins regardants sur la provenance des fonds.

L'opsec fragile

Malgré une opsec initialement correcte, l'administrateur principal a commis plusieurs erreurs qui ont permis sa localisation progressive :

  • Usage d'une même clé PGP entre son forum « public » (sous un autre pseudo) et son compte BlackHandFR — permettant un recoupement linguistique et sémantique
  • Fuite d'une adresse IP personnelle lors d'une maintenance du serveur en 2017 (connexion directe sans VPN pendant quelques minutes)
  • Photos d'annonces d'autres vendeurs qui contenaient des métadonnées EXIF non nettoyées, donnant des indices sur leur géolocalisation — pas sur BlackHandFR directement, mais fournissant des leads pour remonter à certains vendeurs qui ont ensuite témoigné contre les opérateurs

12 juin 2018 : le démantèlement

Le 12 juin 2018, à 6h30 du matin, une opération coordonnée est lancée simultanément dans une dizaine de villes françaises. Les cibles principales :

  • BlackHandFR — interpellé à son domicile en région parisienne. Saisie de 3 ordinateurs, 2 téléphones, plusieurs clés USB, environ 15 000 euros en espèces, et wallets crypto contenant environ 180 000 euros au cours du jour
  • 2 modérateurs — l'un à Ivry-sur-Seine, l'autre à Toulouse. Matériel informatique et documents saisis
  • 12 vendeurs majeurs — dans toute la France, avec saisie de stocks de stupéfiants représentant plusieurs kilos au total

Simultanément, aux Pays-Bas, les serveurs principaux de Black Hand sont saisis par la police néerlandaise en coordination avec la gendarmerie française. Le site devient inaccessible à 9h00 heure française, remplacé par une page de saisie co-signée par les agences françaises, néerlandaises et Europol.

L'opération est annoncée officiellement le lendemain, 13 juin 2018, lors d'une conférence de presse conjointe de la gendarmerie et du parquet de Paris. La communication officielle met en avant le démantèlement de « la principale marketplace francophone du dark web », avec les chiffres de l'enquête (80 interpellations cumulées sur les deux ans suivants).

Les procès et condamnations

Les procédures se sont étalées sur plusieurs années, l'affaire nécessitant l'audition de centaines de témoins et l'exploitation de plusieurs téraoctets de données numériques.

L'administrateur principal

Le procès de BlackHandFR se tient en juin 2019 devant la 32e chambre correctionnelle du tribunal de grande instance de Paris. Après trois semaines d'audience, il est condamné le 21 juin 2019 à :

  • 8 ans d'emprisonnement avec période de sûreté des deux tiers
  • Amende de 500 000 euros
  • Confiscation de tous les actifs crypto saisis et des biens immobiliers acquis via les revenus de la plateforme
  • Interdiction définitive d'exercer en tant que professionnel de l'informatique

La peine a été l'une des plus lourdes prononcées en France dans une affaire dark web. Elle est considérée par plusieurs commentateurs juridiques (voir les analyses de Me Olivier Iteanu dans Les Cahiers de la Justice) comme un message de fermeté du parquet de Paris contre les opérateurs de marketplaces illégales.

Les modérateurs et vendeurs

Les deux modérateurs ont été condamnés respectivement à 4 ans et 3 ans d'emprisonnement. Les vendeurs majeurs ont reçu des peines allant de 2 à 6 ans selon les volumes et la nature des produits vendus. Les acheteurs de volumes importants ont été poursuivis dans des procédures séparées — une partie seulement a fait l'objet de condamnations effectives, les autres ayant bénéficié de classements sous conditions ou de rappels à la loi.

Les conséquences pour le dark web français

Le démantèlement de Black Hand a eu un effet structurel sur le dark web francophone :

  • Effondrement du marché francophone autonome : aucune nouvelle marketplace française n'a réussi à s'imposer après 2018. Les tentatives (French Dark Place, FDM Market) sont restées anecdotiques
  • Migration vers les marketplaces internationales : les vendeurs francophones qui ont continué leur activité ont ouvert des comptes sur des plateformes anglophones plus robustes
  • Essor des canaux privés : Telegram chiffré, Signal, Session, serveurs Matrix/XMPP privés ont absorbé une partie importante du trafic, avec leurs propres risques (pas de système d'escrow, multiplication des arnaques)
  • Renforcement des capacités d'enquête françaises : le C3N et la J3 du parquet de Paris ont acquis une expertise et des procédures qui ont servi dans les affaires suivantes (plusieurs condamnations de vendeurs individuels en 2020-2024)

Pour un panorama complet du cadre légal français sur le dark web, voir notre guide du dark web en France.

Leçons de l'affaire

L'affaire Black Hand a plusieurs enseignements clés.

Sur l'opsec. Les erreurs de BlackHandFR sont typiques : réutilisation de clés PGP entre identités, moment de déconcentration avec un VPN désactivé, traces sémantiques entre plusieurs comptes. Aucune de ces erreurs n'était techniquement sophistiquée — elles sont les fautes classiques que toute formation d'opsec met en garde.

Sur le rapport de forces. Les agences françaises sont capables, quand elles y mettent les moyens, de démanteler une marketplace dark web en 20 mois d'enquête. La coopération internationale fonctionne. Ce qui limite les démantèlements massifs n'est pas la capacité technique, mais l'allocation des ressources d'enquête : les budgets cyber de la gendarmerie restent modestes par rapport aux enjeux.

Sur la stratégie judiciaire. La peine de 8 ans infligée à BlackHandFR est perçue comme un tarif d'exemplarité. Elle est plus lourde que les peines comparables dans d'autres pays européens pour des affaires similaires (typiquement 4 à 6 ans). Cette fermeté française est documentée dans les rapports annuels de la section J3.

Sur l'écosystème. La disparition de Black Hand a laissé un vide durable. Le marché francophone n'a pas recréé de marketplace autonome. Cette absence est soit un signe de succès des autorités (la dissuasion fonctionne), soit un glissement vers des canaux moins visibles (Telegram, Signal) qui complique l'enquête mais ne réduit pas nécessairement le volume global des transactions illégales.

FAQ sur l'affaire Black Hand

Qu'était Black Hand ?
Black Hand était une marketplace francophone du dark web active entre 2016 et 2018. Elle revendiquait être la plus grande plateforme dark web en langue française, avec environ 3 000 utilisateurs actifs et plusieurs centaines de vendeurs spécialisés principalement dans les stupéfiants, mais aussi dans les données bancaires volées et les faux papiers. Elle a été démantelée le 12 juin 2018 par la gendarmerie nationale lors d'une opération coordonnée par la section J3 du parquet de Paris.
Qui administrait Black Hand ?
Le principal administrateur, connu sous le pseudonyme « BlackHandFR », a été identifié comme un jeune homme de 35 ans résidant en région parisienne, ancien informaticien ayant une formation en développement web. Son identité civile n'a pas été rendue publique par la justice française. Deux modérateurs ont également été arrêtés dans la même opération, l'un en Île-de-France et l'autre dans le Sud-Ouest.
Quelle a été la peine de l'administrateur principal ?
L'administrateur principal a été condamné en juin 2019 à 8 ans d'emprisonnement avec une période de sûreté des deux tiers, pour association de malfaiteurs, provocation à l'usage de stupéfiants, blanchiment aggravé, et exploitation d'une plateforme de commerce illégal. C'est l'une des peines les plus lourdes jamais prononcées en France pour une affaire dark web à l'époque.
Comment la gendarmerie a-t-elle remonté jusqu'aux opérateurs ?
L'enquête a combiné plusieurs techniques : infiltration d'agents spécialisés du C3N (Centre de lutte contre les criminalités numériques) comme acheteurs puis vendeurs, coopération internationale avec Europol pour tracer les wallets Bitcoin, saisie de serveurs à l'étranger via commissions rogatoires, et analyse des métadonnées de photos d'annonces qui avaient fuité des informations EXIF sur les produits. L'opsec des opérateurs, solide mais pas parfaite, a cédé après 20 mois de traque.
Combien de vendeurs et acheteurs ont été arrêtés ?
Au total, environ 80 personnes ont été interpellées dans les deux ans suivant le démantèlement : 2 modérateurs, une cinquantaine de vendeurs majeurs (peines de 2 à 6 ans), et une vingtaine d'acheteurs de volumes importants. Des enquêtes parallèles coordonnées par le JIRS de Paris ont également visé plusieurs dizaines d'acheteurs réguliers qui n'ont pas tous fait l'objet de poursuites (classement sans suite ou rappels à la loi selon les quantités).
Y a-t-il eu des marketplaces francophones après Black Hand ?
Plusieurs tentatives ont suivi (French Deep Web Market remonté, marchés de niches, French Dark Place, plusieurs autres de moindre envergure), mais aucune n'a retrouvé la taille de Black Hand. La tendance en 2020-2026 a été de voir les vendeurs francophones migrer soit vers des marketplaces internationales (utilisant le français comme seconde langue), soit vers des canaux privés type Telegram chiffré avec bots de paiement crypto. Le marché dark web francophone pur est devenu marginal.

Pour aller plus loin

Le dark web en France : cadre légal Silk Road : chronologie complète Alexandre Cazes (AlphaBay) Dangers du dark web Plateformes démantelées Dark Web : guide complet