Dans le cadre d’une opération concertée, les polices de Hollande, Allemagne, USA, Lituanie, mais également de Thaïlande, France et Grande Bretagne sont parvenues à fermer deux places de marché fortement impliquées dans le trafic de produits illicites : AlphaBay et Hansa. Le communiqué d’Europol décrit dans les grandes lignes le déroulement de l’opération, tout en précisant avoir infiltré Hansa depuis le 20 juin… Caveat Emptor !
Au plus fort de son activité, AlphaBay pesait, affirme le FBI, 200 000 clients, 40 000 marchands, 250 000 références produits dont le commerce est illégal (principalement des stupéfiants). Mais également près de 100 000 pièces d’identité volées ou falsifiées, panoplies de cambriolage (terminaux d’attaque brute force d’antivol automobile par exemple), outils d’attaque informatique, biens de marques contrefaites, armes à feu etc. Le chiffre d’affaires quotidien oscillait entre 600 et 800 k$, soit près d’un milliard de dollars de transaction (toujours selon le FBI). Gardons à l’esprit qu’en matière de communication, la police est aussi objective que le service de presse d’un vendeur d’antivirus. Le « super-hacker » BX1 accusé d’avoir détourné des millions de dollars n’avait, lors de son arrestation, engrangé guère plus que le montant de quelques mois de RSA. Reste qu’en termes de volume d’affaires, cet eBay du crime avait pris la relève de Sylkroad, avec un peu plus de « security by design »… mais seulement un peu plus.
A l’origine de ce coup de filet, une série de bévues et manquement élémentaires de la part du principal administrateur et créateur d’AlphaBay, Alexandre Cazes, alias Alpha02, citoyen Canadien francophone. Au nombre de ces erreurs, l’utilisation d’une adresse de messagerie aisément traçable,pimp_alex_91@hotmail.com. Une adresse que l’on retrouve un peu de partout, notamment sur un forum du serveur « Comment ça marche » et, nous apprend notre éminent confrère Jean-Marc Manach, sur d’anciennes pages du très distingué et très intellectuel blog Skyrock… le wanabee spécialiste de la neige de culture (sachets) conservait le même compte de messagerie depuis au moins 2008. De la part d’un Über-hacker du SombreOuèbe, on aurait pu s’attendre à mieux. Surtout après l’arrestation de Ross Ulbricht, fin 2013, tombé lui aussi pour avoir conservé une adresse email aisément traçable.
Le 5 juillet, la police Thaïlandaise interpelle Cazes et saisit son matériel informatique, le surprenant encore connecté sur les pages d’administration de son site. Sont également découverts une foultitude de documents permettant d’établir l’étendue de sa fortune personnelle et l’activité de son site, ainsi que des documents reliant le suspect avec une société-écran servant à blanchir certaines rentrées d’argent. Au total, une fortune de près de 35 millions de dollars. La plainte pour « forfaiture » enregistrée par l’Administration Californienne fait état de nombreuses voitures de sport, de biens immobiliers, d’une multitude de comptes en banques et d’un avoir en crypto-monnaies relativement impressionnant. Cazes ne profitera jamais de ses richesses et sera retrouvé pendu 8 jours plus tard, dans les douches de sa prison Thaïlandaise.
Erreurs élémentaires en matière de SSI, train de vie relativement voyant, on se demande comment une telle entreprise mafieuse a pu prospérer sans que les polices n’interviennent plus tôt. Toujours est-il qu’une fois le cerveau sous les barreaux, les multiples complices sont tour à tour au moins identifiés, sinon démasqués. Coadministrateurs, modérateurs et chargés de clientèle, Directeur des relations publiques et… responsables de la chasse aux contrefaçons de site. Cette pyramide de responsabilités n’a rien à voir avec le quasi-artisanat d’Ulrich avec Sylk Road explique avec une précision toute chirurgicale un article de Catalin Cimpanu dans les colonnes de Bleeping Computer. Et c’est d’ailleurs là la marque d’une évolution dans l’organisation du web mafieux. Les relations de confiance entre truands parviennent malgré tout à s’établir, chose surprenante dans ce milieu naturellement si suspicieux et qui a poussé bon nombre d’administrateurs à travailler seuls. Et par conséquent commettre des erreurs par manque de compétence, manque de temps, manque de délégation de responsabilité. Ce qui a fait tomber Alpha Bay, ce n’est pas la trahison d’un des comparses, mais les mauvaises pratiques de leur chef.
L’affaire ne s’arrête pas là . En fermant les serveurs d’Alpha Bay, la police sait qu’elle crée un appel d’air important. Ce site n’est pas le seul en activité. Les concurrents s’appellent Hansa (un rappel de la puissante Ligue Hanséatique des marchands Allemands), mais également Wall St Market, Traderoute, Zion Market… qu’une place importante disparaisse, et les clients se rabattent sur des portails de moindre envergure. Au moment où Cazes est interpelé, cela fait déjà deux semaines que le « numéro deux » des places de marché mafieuses a été mis sur écoute. Encore deux semaines de patience, et la police Hollandaise se constitue un fichier sérieux de clients et de vendeurs, tentant peu à peu de coller une identité véritable derrière ces pseudonymes et ces règlements en crypto-monnaies.
Brian Krebs publie à ce sujet une interview de Petra Haandrikman, patronne de l’unité de lutte contre la criminalité NTIC de la police Hollandaise. De mandat international en intrusion à distance des serveurs, la cyber-policière raconte comment les « réfugiés d’AlphaBay » ont fait l’objet d’une filature numérique et d’une analyse de leurs moindres mouvements. Haandrikman lance le même avertissement que celui émis par le chef de la division cybercrime du FBI : « Il n’y a plus d’anonymat sur le Dark Web »
1 commentaire