Celui qui n’aurait pas dû faire escale à Paris
On ne sait pas exactement comment les deux administrateurs de Deep Dot Web ont été démasqués, mais on a deux très gros indices.
Bonjour,
Bienvenue pour la fin de cet épisode de Pwned sur Deep Dot Web. Mais tout d’abord, si vous n’êtes pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
La semaine dernière, je vous parlais du magot énorme que cet annuaire du dark web avait réussi à amasser avec son business d’affiliation de marchés noirs : 8000 bitcoins environ. Dans la documentation judiciaire, il est précisé que le FBI a d’ailleurs procédé à une série de coups d’achat au printemps 2019, en achetant, après avoir cliqué sur le lien d’affiliation, des drogues, un rançongiciel ou encore des données volées sur des marchés noirs.
Mais ce n’est pas ainsi que les administrateurs ont été identifiés par la justice américaine. D’ailleurs, je vais vous décevoir pour cet épisode de Pwned, je n’ai pas trouvé de source précisant exactement comment l’enquête avait abouti.
On a cependant deux grosses pistes. Un, il est probable que la justice américaine a, à partir de l’été 2017, une vue très claire du business douteux de Deep Dot Web et des commissions versées par les places de marché illégales à ses administrateurs.
Ce n’est en effet certainement pas un hasard si l’acte d’accusation mentionne précisément la part des ventes affiliées à Deep Dot Web sur AlphaBay et Hansa. Ce sont justement deux marchés noirs dont l’infrastructure a été saisie, à l’été 2017, par le FBI et la police néerlandaise !
Ils ont alors pu remarquer, s’ils ne l’avaient pas déjà vu, qu’il y avait un versement d’une commission à Deep Dot Web. Dans le premier communiqué judiciaire, il est ainsi fait mention de remerciements à l’égard de l’équipe de poursuites pénales du marché noir AlphaBay.
Deux, les administrateurs ont vraisemblablement été confondus en suivant la blockchain. Une piste complexe : le même communiqué judiciaire signale l'existence de plusieurs milliers de transactions pour blanchir les fonds, destinés ensuite à financer plusieurs sociétés, WwwCom Ltd., M&T Marketing, Imtech, OTSR Biztech et Tal Advanced Tech.
On n’a pas la preuve que des mixeurs ont été utilisés, mais c’est généralement le cas dans ce genre d’enchaînement complexe de transactions. Qui ont abouti au final sur des exchanges, ces plateformes crypto qui servent de passerelles avec le monde bancaire.
Cela, on en est sûr, puisque les documents relatifs à l’enquête mentionnent des dépôts sur des comptes en Lettonie, en Israël et en Géorgie. Il est probable que les enquêteurs aient donc retracé les mouvements en crypto-monnaies et identifié les principaux bénéficiaires.
Quoiqu’il en soit, ce 6 mai 2019, Tal Prihar fait escale à Paris. Ce résident brésilien d’origine israélienne de 37 ans, père de quatre enfants, était en visite en Israël. Il revient avec sa famille au Brésil, un voyage qui passe par une correspondance à Roissy-Charles-de-Gaulle.
Mais cette escale a visiblement été bien anticipée par les services d’enquête. Car il est aussitôt arrêté à son arrivée en France. Pendant ce temps, la police brésilienne perquisitionne chez lui, à Brasilia, mettant la main sur un petit magot. Au même moment, la police israélienne arrête Michael Phan, un trentenaire de Tel-Aviv, accusé d’être le développeur du site, et un certain Yonatan F., qui ne sera finalement pas poursuivi dans cette histoire.
Comme le rappelle alors Times of Israël, Prihar et Phan sont les gérants de Tal Advance Tech, une entreprise spécialisée dans la promotion de sites internet. Mais c'est aussi l'une des sociétés ayant reçu des commissions destinées à Deep Dot Web, selon l'accusation américaine. Outre Tal Advance Tech, Prihar avait à son actif des noms de domaine autour du cannabis, du qat, un service de vente de tickets ou encore un site vendant des crypto.
Le journal israélien glisse également une anecdote intéressante. Vous vous souvenez de la mention, à la création de Deep Dot Web, en octobre 2013, d’un ami des administrateurs ayant été arrêté pour avoir acheté des drogues sur Silk Road? Selon Times of Israël, Tal Prihar a justement été condamné en septembre 2014 à six mois de service communautaire pour avoir acheté de la cocaïne sur le darknet…
On a donc l’impression que les enquêteurs ont touché au but. Accusé de blanchiment, Tal Prihar finira d'ailleurs par plaider coupable devant la justice américaine. “Il savait que certains des liens menaient à des marchés du darknet où ces clients pouvaient acheter des articles illégaux”, argumentera son avocat.
Mais “il n'exploitait pas de marché noir, il n'obligeait pas les visiteurs à cliquer sur des liens, et il ne savait pas quels visiteurs se connectaient à quel marché ou dépensaient leur de l'argent sur quels articles”, ajoutera-t-il pour sa défense.
En janvier 2022, Tal Prihar est finalement condamné à huit ans de prison par un juge de Pennsylvanie. Quant à son ancien partenaire en affaires, Michael Phan, arrêté en Israël, il est toujours visé par une procédure d’extradition américaine - comme la France, Tel-Aviv n’extrade pas ses ressortissants.
Même si un seul des deux mis en cause a été arrêté et jugé, la procédure judiciaire est au final assez fructueuse. En ne se concentrant pas seulement sur les places de marchés illégales mais en s’attaquant aussi aux structures qui facilitent leur fonctionnement, le FBI a en effet réussi à déstabiliser les marchés noirs illégaux.
Au passage, l’un des derniers gros marchés noirs, Hydra Market, sera fermé quelques mois plus tard par la police allemande, tandis que ce genre de business va se déporter de plus en plus vers des messageries chiffrées comme Telegram.
Quant au flambeau de Deep Dot Web, il sera repris brièvement par Darknetlive. Un site qui sera tout bonnement racheté par le marché noir Incognito en novembre 2022, visiblement une façon de rabattre plus de clients vers la plateforme illégale.
Une alliance hasardeuse, qui s'est mal terminée pour les utilisateurs : Incognito Market a fermé boutique sans prévenir au début du mois de mars 2024, en escroquant ses vendeurs et ses anciens clients, sommés de payer une rançon sous peine de voir leurs données transmises à la police.
Je laisse le mot (mélancolique) de la fin à l’administrateur de DarkDotFail: “peu de journalistes se soucient aujourd’hui de couvrir le darknet – et encore moins de parler de ses problèmes de sécurité”.
Avant d’ajouter, attristé. “Les escroqueries vont et viennent, les mensonges sont régulièrement répandus sans être révélés, et Tor reste un terrain de jeu invasif pour les techniques expérimentales d'enquête sur les réseaux gérées par les États-nations, les universités et les sociétés de cybersécurité.”
On se retrouve bientôt pour une nouvelle histoire de cybercrime,
Bonne journée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
PF e FBI combatem a prática de crimes na internet e Dark Web
Polícia Federal, thread Twitter
Nouveaux détails sur les suspects israéliens du darknet inculpés aux Etats-Unis
DeepDotWeb Administrator Sentenced for Money Laundering Scheme
Les interventions policières sur les facilitateurs du crime
Démantèlement d'Hydra Market, la plus grande marketplace illégale du darknet
Trafic de drogue, faux papiers… Comment les réseaux sociaux ont ringardisé le dark web