Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.
Avec la fermeture de deux marchés noirs majeurs, juillet a été un mois difficile pour l’économie souterraine. Quelques jours seulement après qu’AlphaBay soit devenu inaccessible, nous avons appris que non seulement AlphaBay avait été fermé par les forces de l’ordre (ce qui était attendu à ce stade), mais aussi que Hansa était géré par celles-ci depuis un mois et avait été transformé en un piège mortel pour ses utilisateurs. Cet article vise à fournir un aperçu de la chronologie des événements ayant mené à ce jour et de la façon dont les forces de l’ordre ont mis en place un piège mortel pour les utilisateurs de ces plateformes.
L’histoire commence le 5 juillet vers 03h00 UTC, lorsqu’AlphaBay est soudainement devenu hors ligne sans préavis. Le même jour, plusieurs opérations de police ont été signalées. Au Canada, la GRC et le FBI ont mené trois perquisitions. Une à Montréal et deux à Deux-Rivières, au Québec. L’objectif de ces raids était la saisie de matériel informatique, et au moins un serveur a été saisi tandis qu’aucune arrestation n’a eu lieu. TVA Nouvelles a interviewé la capitaine canadienne Camille Habel qui a annoncé qu’une enquête était en cours et qu’elle n’était donc pas en mesure de donner beaucoup de détails, mais que d’autres informations suivraient. Pendant ce temps, un Canadien d’environ 25 ans a été signalé arrêté dans une autre opération conjointe du FBI, de la DEA et de la Police royale thaïlandaise à Bangkok.
Il n’a pas fallu longtemps avant qu’une poignée de théories différentes émergent. En premier lieu, les théories prédominantes étaient l’exit scam et la maintenance du site. Le 5 juillet, un utilisateur de Reddit nommé Big_Muscles (supposément un modérateur d’AlphaBay) a exhorté les gens à « se calmer [et] être patients » tandis que d’autres prétendaient avoir détecté des retraits significatifs depuis AlphaBay. En réalité, certains des clusters « enquêtés » appartenaient simplement à Kraken ou Poloniex et n’avaient rien à voir avec un potentiel exit scam.
Peu après, les gens ont commencé à croire de plus en plus à la théorie de la fermeture par les forces de l’ordre. Cette théorie s’est encore plus répandue à partir du 12 juillet, après qu’un Canadien de 26 ans nommé Alexandre CAZES (celui arrêté en Thaïlande) se soit pendu avec une serviette dans sa cellule.
Naturellement, les utilisateurs d’AlphaBay se sont tournés vers le deuxième plus grand marché disponible : Hansa. L’afflux de nouveaux utilisateurs a été si conséquent que Hansa a arrêté les inscriptions entre le 9 et le 17 juillet, submergé par l’afflux de « réfugiés d’AlphaBay ». Nous crawlions ce marché particulier entre le 8 et le 10 juillet et avons utilisé les données obtenues pour dessiner le graphique suivant.
Hansa affichait trois informations (entre autres) sur la page des vendeurs : leur date d’inscription, leur dernière connexion et depuis quand ils étaient en vacances (s’ils avaient activé le mode vacances). Notre graphique affiche ces dates de la manière suivante :
- bleu : le nombre de nouveaux vendeurs pendant le mois
- orange : le nombre de vendeurs vus pour la dernière fois pendant le mois
- jaune : le nombre de vendeurs ayant activé le mode vacances pendant le mois
Hansa comptait un total de 2 133 vendeurs. Deux cent quarante-trois d’entre eux n’avaient pas de date d’inscription mais avaient une date de dernière connexion, et parfois une date de vacances. D’après les dates de vacances et de dernière connexion, nous pouvons supposer que la date d’inscription est cohérente avec notre graphique précédent. Le graphique révèle deux choses intéressantes. Premièrement, la plupart des vendeurs semblaient être actifs puisque 1 289 ont été vus en juillet et 171 en juin. Ensuite, il confirme que des vendeurs sont venus sur Hansa après qu’AlphaBay soit devenu hors ligne. Pour avoir une meilleure idée de l’importance de l’augmentation des inscriptions, nous avons dessiné un graphique montrant les nouveaux vendeurs jour par jour.
La moyenne de nouveaux utilisateurs par jour est de 91 pour juin. Comme AlphaBay a fermé le 5 juillet et Hansa a arrêté les inscriptions le 9 juillet, nous utiliserons les chiffres du 5 au 8 juillet. Sur cette période, il y a 137 nouveaux vendeurs. Nous pouvons alors calculer que le nombre d’inscriptions a augmenté de 372 % après qu’AlphaBay soit devenu inaccessible. Ce nombre est probablement encore plus significatif puisqu’on dit qu’AlphaBay comptait 40 000 utilisateurs et qu’il nous manque les dix derniers jours d’inscriptions. Comme les acheteurs n’ont pas de profil, nous n’avons pas pu estimer leur nombre, mais nous pouvons supposer qu’il suit la même tendance.
Une grande surprise
Le 20 juillet, Hansa a cessé de fonctionner et une conférence de presse (transcription ici) a été tenue par le DOJ. Ils ont confirmé ce que tout le monde soupçonnait : AlphaBay avait été fermé lors d’une opération de police. Ils ont également annoncé quelque chose de surprenant : ils contrôlaient Hansa depuis le 20 juin.
Le même jour, la police néerlandaise a fait une annonce officielle. Elle a expliqué que grâce à l’arrestation de deux administrateurs de Hansa Market en Allemagne, elle avait pu prendre le contrôle des serveurs hébergés en Lituanie, et donc intercepter tout ce qui y transitait. C’est ainsi qu’elle a capturé environ 10 000 adresses de clients de Hansa sur 50 000 transactions. Le nombre de transactions est passé d’une moyenne de 1 000/jour à 8 000/jour après le 5 juillet et a constitué un défi pour les autorités qui souhaitaient garder la situation sous contrôle. KrebsOnSecurity a mené une interview avec un policier qui a expliqué que l’interdiction des nouvelles inscriptions avait été faite pour pouvoir suivre les commandes.
Malheureusement, il n’y a pas beaucoup d’informations sur la façon dont Hansa a été fermé. Ce que nous savons, cependant, c’est que Bitdefender a aidé les autorités à un moment donné. De plus, certaines théories sur Internet suggèrent que cela pourrait être lié à la fermeture de lul.to, une plateforme distribuant des copies illégales de livres. Il semble que deux personnes suspectées d’en être les administrateurs aient été arrêtées en Allemagne le 21 juin.
L’opération Bayonet ou comment Cazes s’est trahi lui-même#
Maintenant que la chronologie est connue, examinons ce qui a conduit au succès de l’opération Bayonet (qui ne concerne que la fermeture d’AlphaBay). La réponse est simple : une mauvaise sécurité opérationnelle (OpSec). Si vous êtes familier avec les détails de la fermeture de Silk Road, vous ressentirez sans doute un sentiment de déjà-vu. La raison (principale) pour laquelle Cazes a été arrêté est qu’il a utilisé son adresse email. Sur AlphaBay. Pour être précis, en 2014, certains emails envoyés aux utilisateurs comme les emails de bienvenue ou de récupération de mot de passe incluaient l’adresse email personnelle de Cazes Pimp_Alex_91@hotmail.com dans les en-têtes. Vous avez peut-être entendu un jour qu’Internet n’oublie jamais ? En voici l’exemple parfait : si les emails avec l’adresse de Cazes ont été envoyés en 2014, les forces de l’ordre n’en ont eu connaissance qu’en 2016.
À partir de là, trouver plus de preuves n’a pas été un défi pour les agents fédéraux. L’homme avait posté une question fin 2008 sur le célèbre forum commentcamarche.com incluant non seulement son nom, son email mais aussi son pseudonyme, “Alpha02”. Oui, le même qu’il a utilisé plus tard sur AlphaBay. Mais ce n’est pas tout. L’adresse email était également utilisée dans plusieurs comptes PayPal, ainsi que sur son profil LinkedIn. Enfin, vous l’avez probablement deviné maintenant, mais 1991 est l’année de naissance de Cazes.
Tous ces éléments sont publics (ou du moins l’étaient à un moment donné) et auraient pu être trouvés par n’importe qui avec un peu de recherche. À partir de là, les forces de l’ordre ont pu trouver toutes les preuves nécessaires pour obtenir un mandat pour les différents lieux et procéder aux perquisitions et à l’arrestation.
Quand la police a fait une descente dans la maison d’Alpha02 en Thaïlande, il était sur son ordinateur, essayant de remettre en ligne le marché. Il était connecté à divers endroits, comme sur le forum du marché en tant qu’administrateur. Sur son ordinateur, plusieurs fichiers texte contenant les identifiants d’accès à de nombreux serveurs, des portefeuilles de cryptomonnaies et des documents comptables ont été trouvés, permettant à la police de saisir les fonds. Ils ont également découvert qu’il était très actif sur un forum nommé RooshV sous le pseudonyme “rawmero” où il avait été observé affichant très publiquement sa richesse.
Entre autres choses, les forces de l’ordre ont saisi plusieurs villas, une Lamborghini, une Porsche Panamera, beaucoup de liquidités, un certain nombre de Bitcoins, d’Ethereum, de Monero et de Zcash (environ 8,8 millions de dollars). Selon les documents trouvés sur l’ordinateur, Cazes estimait sa fortune à une valeur nette de 23 033 975 $. Rien de tout cela ne pouvait être lié à une source légale. Il possédait une entreprise appelée “EBX Technology” et prétendait être un investisseur ayant fait fortune avec Bitcoin. En réalité, le compte bancaire d’EBX avait peu ou pas d’activité. Peut-être pensait-il qu’acheter une citoyenneté économique à Antigua le protégerait… Grosse erreur.
Quelques chiffres sur AlphaBay et l’avenir des marchés noirs
AlphaBay a fonctionné de juillet 2015 à juillet 2017. Le marché était en pré-lancement jusqu’en décembre 2015, date à laquelle il est devenu accessible au public. Pendant cette période, le volume échangé estimé se chiffre en centaines de millions de dollars. En se basant sur la valeur nette de la fortune de Cazes et sur les frais perçus par le service (de 2 % à 4 % par vente, selon le volume du vendeur et d’autres facteurs), nous pouvons estimer le flux d’argent quelque part entre 575 849 375 $ et 1 151 698 750 $. Il s’agit bien sûr d’une estimation approximative qui n’est pas précise puisque Cazes devait payer du personnel, des serveurs, etc. En même temps, il a pu faire des investissements lui rapportant de l’argent, etc.
À titre de comparaison, le flux d’argent représente plusieurs fois celui de Silk Road dont l’ancien administrateur a été condamné cette année à la prison à perpétuité, sans possibilité de libération conditionnelle. Cela pourrait expliquer pourquoi Cazes a décidé de mettre fin à ses jours. En juin 2017, pas moins de 369 000 articles étaient en vente sur le marché. Incluant divers types de drogues, des armes à feu, des numéros de cartes de crédit, etc. Selon les données que nous avons collectées, Hansa n’avait que 114 728 articles pendant toute sa durée de vie, mais si nous enlevons ceux qui ont été supprimés, seuls 69 970 étaient achetables lors de sa fermeture, ce qui fait une grande différence entre les deux marchés.
Avec les deux plus grands marchés hors jeu, les utilisateurs de marchés noirs pourraient avoir du mal à satisfaire leurs besoins pendant un certain temps. Bien sûr, il existe d’autres marchés noirs, dont Dream Market, qui est considéré comme le numéro trois avec 95 341 articles en vente. Cependant, la confiance aveugle dans l’anonymat des marchés noirs que certains utilisateurs avaient est probablement bien entamée désormais. De plus, Dream Market est soupçonné par certains utilisateurs d’être infiltré par la police : une adresse IP est présente dans du code de débogage dans un fichier JavaScript.
En plus de cela, les forces de l’ordre ont déclaré la guerre à ces plateformes lors de la conférence de presse :
You cannot hide. We will find you. Dismantling organisation and network, and we will prosecute you.
La chasse est lancée, et la vague d’arrestations à venir ne va pas améliorer la situation pour les criminels. Néanmoins, de nouvelles solutions ou des marchés leaders émergeront, et les criminels pourraient éventuellement poursuivre leurs activités. Dans tous les cas, les mois à venir seront intéressants.
Pour plus de détails sur AlphaBay, vous pouvez consulter l’acte d’accusation et la plainte de confiscation.