Celui qui avait un SkyBlog et allait sur Comment ça marche
Alph02 pensait avoir dissimulé toutes ses traces. Et pourtant...
Bonjour,
Bienvenue pour la suite de cet épisode de Pwned sur la traque d’Alpha02, le fondateur du marché noir AlphaBay. Mais tout d’abord, si vous n’êtes pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
A l'automne 2015, Alpha02, l’administrateur d’AlphaBay, a réussi son pari. La place de marché illégale est devenue la numéro un du genre, avec environ 200 000 utilisateurs. Le revers de ce succès, c’est que cette notoriété attire l’attention de la police. Le journaliste Andy Greenberg donne davantage de détails dans son bouquin “Tracers in the dark”.
L’un des premiers à s’être intéressé à AlphaBay s’appelle Robert Miller. Cet agent de l’agence anti-drogue américaine, la DEA, est basé à Fresno, au centre de la Californie. Au début de l’année 2016, il rejoint une task force judiciaire locale chargée de se concentrer sur le “dark web”, un terme un peu sensationnel désignant en fait des réseaux superposés à Internet qui ont recours à des technologies de chiffrement pour anonymiser leurs utilisateurs, comme Tor ou I2P.
Forcément, il finit par s’intéresser à AlphaBay et à son mystérieux administrateur, Alpha02. Tiens, et c’est intéressant, ce dernier vient de changer de pseudo. Ce compte avait été créé le 14 juillet 2014, plusieurs mois avant le lancement du site. Mais depuis août 2015, Alpha02 est devenu “Admin”.
Si Alpha02 se met en retrait, c’est certainement pour des raisons de sécurité : maintenant qu’il a atteint ses objectifs, mieux vaut rester discret. Sur le forum du marché noir, il précise d’ailleurs que ce compte n’acceptera plus que les messages privés du staff interne, renvoyant le reste des internautes vers DeSnake, son numéro deux dans l'administration du site.
À Fresno, les agents de la DEA commencent leurs coups d’achat, une stratégie qui consiste à acheter des biens illicites sur la place de marché afin de remonter jusqu'aux vendeurs. L’acte d’accusation mentionne ainsi l’acquisition pour l’année 2015 d’un faux permis et de marijuana, puis d’héroïne achetée auprès d’ “A51” et de “BSB”.
L’un de ces achats est fructueux : à la suite d’une erreur du vendeur, qui a lié sa clé de chiffrement PGP avec son adresse mail, ils arrivent à identifier des comptes sur des réseaux sociaux. Le vendeur se révèle être un homme qui vit à New-York. Une empreinte retrouvée sur le paquet d’héroïne confirme qu’il s’agit bien de lui, et il est arrêté. Rebelote ensuite avec un vendeur de San Francisco.
On a déjà évoqué dans l'épisode consacré à Silk Road les limites de cette approche face aux marchés noirs en ligne. Mais ce coup ci, ce n’était sans doute pas si inutile que cela. Car les agents de la DEA se font une petite réputation chez les utilisateurs d'Alphabay.
Lors d’un coup d’achat, le vendeur averti: il faut faire gaffe aux “feds” de Fresno! Puis, quelques mois plus tard, en novembre 2016, Robert Miller reçoit un mail alléchant. Son correspondant explique qu’il a cherché à joindre le FBI ou une autre agence fédérale mais sans succès. Il a finalement retrouvé le nom de l’agent de la DEA dans un acte d’accusation d'un vendeur d’AlphaBay.
Il a des choses à dire sur Alpha02.
Et son tuyau est assez phénoménal. Le très discret administrateur d’AlphaBay s’est emmêlé les pinceaux quand il a lancé le site. En décembre 2014, lors des premiers jours de fonctionnement du marché noir, l’email de bienvenue automatiquement envoyé aux nouveaux inscrits faisait référence… à une adresse en hotmail et à une adresse IP d’un serveur localisé aux Pays-Bas. On retrouvait également l’adresse mail quand on demandait à récupérer son mot de passe. L’erreur aurait été rapidement corrigée, explique l’informateur, mais trop tard. Il a gardé le mail et l'adresse de l'expéditeur, “Pimp_Alex_91@hotmail.com”.
L’erreur de configuration est monumentale car cette adresse a laissé bien des traces. Il y a par exemple ce compte SkyBlog d’un fan de rap écrivant sous le pseudonyme de “Rag mind”. Né en 1991, cet internaute est originaire de la ville de Trois-Rivières au Québec. Le journaliste français Jean-Marc Manach avait retrouvé quelques-unes des URL du blog archivées par Internet Archive. Si vous êtes curieux, vous pouvez jeter un coup d'œil sur le blog.
Encore pire pour Alpha02, les agents retrouvent, grâce à Internet Archive, un autre compte lié à cette même adresse, cette fois sur le forum “Comment ça marche”. C’était l’un des sites incontournables des années 2000 pour le dépannage informatique. Et dans un message expliquant comment enlever un virus d’une photo numérique, il glisse un nom, “Alexandre Cazes”.
Les agents de la DEA se penchent sur le profil de cet intriguant canadien. Ce dernier se présente comme un développeur indépendant. Sa famille expliquera qu’il était féru d’informatique, et qu’il avait très jeune lancé une entreprise de création de sites web. Sur son profil Linkedin, il explique effectivement travailler pour sa propre entreprise, baptisée EBX Tech, et liste ses nombreuses compétences informatiques, du développement web à l’administration de serveurs en passant par la sécurité des réseaux.
Son compte Paypal prouve qu’il y a un lien entre EBX Tech et l'adresse mail “Pimp_Alex_91@hotmail.com”. La boucle est bouclée, le fana de rap, le patron d'EBX Tech et le bienfaiteur des forums de dépannage informatique sont la même personne. Mais que vient faire son adresse e-mail dans les outils d'administration d'AlphaBay, s’il n’est pas l’administrateur du site?
Or, sur les réseaux sociaux, son activité suggère qu’Alexandre Cazes vit en Thaïlande et qu’il y mène grand train, en témoigne cette photo où il pose à côté d’une voiture de luxe Lamborghini d’une valeur d’un million de dollars. Les soupçons se renforcent grâce au travail de surveillance fait par la police thaïlandaise. Qui peut dépenser 40 000 dollars pour un repas dans un restaurant deux étoiles Michelin alors qu’il ne semble pas avoir d’activité professionnelle?
Avec cette nouvelle piste, l'enquête américaine contre AlphaBay vient de faire un bond prodigieux. Et ces soupçons contre Alexandre Cazes vont être corroborés par le travail de deux analystes du FBI, surnommées Ali et Erin dans le livre d’Andy Greenberg. Ces deux spécialistes de la blockchain misent sur le logiciel Reactor de Chainalysis pour identifier l’administrateur d’AlphaBay. A l’époque, l’entreprise n’est pas encore très connue. Mais elle propose déjà aux forces de l'ordre un outil permettant de suivre les transactions en crypto.
Pourtant, la tâche s’annonce compliquée. AlphaBay assure protéger les transactions de ses utilisateurs avec un mixer, un outil permettant de mélanger des transactions louches avec d’autres pour brouiller les traces.
Mais comme le relève Mnyo, le relecteur de Pwned, les ingénieurs de Chainalysis ont repéré certaines caractéristiques propres au site. Le système de frais variables appliqués par AlphaBay pour les échanges leur permet de cartographier plus de 2,5 millions d’adresses contrôlées directement par la plateforme et attribuées à ses utilisateurs.
C’est ce qu’on appelle dans le jargon un cluster. Et dans ce gros paquet d’adresses crypto, il y en a une qui intrigue particulièrement Ali et Erin. Si dans la majorité des cas, les utilisateurs du marché noir s'empressent de faire sortir les fonds placés sur les adresses contrôlées par AlphaBay, celle-ci est une grosse baleine qui amasse des sommes considérables.
Si c’est un vendeur, ce n’est pas logique. Cette fortune pourrait disparaître en cas de fermeture du marché noir, un “exit scam”, une arnaque à la sortie assez courante. Personne ne laisserait ainsi son magot dormir, piégé par la plateforme. Sauf si vous êtes l’administrateur du site. Les deux analystes sont donc persuadées d'avoir retrouvé la trace de la tirelire d'Alpha02.
Et ce qui est d'autant plus intéressant avec cette adresse, c’est qu’il y a eu des transferts de fonds vers des adresses hébergées sur des exchange, ces plateformes qui permettent de faire office de passerelle avec la finance classique. Elles sont particulièrement intéressantes pour les forces de police, parce qu’elles sont dans la plupart des cas obligées de demander à leurs utilisateurs des informations d’identification, infos qui peuvent être ensuite demandées par la police sur réquisition judiciaire.
En tout, le FBI retrouve une douzaine de comptes sur des plateformes d’échanges que l’on relie au patron d'AlphaBay. Manifestement, l'administrateur a des difficultés à encaisser ses faramineux bénéfices. Pour expliquer sa fortune crypto, il assure être l’un des premiers investisseurs dans bitcoin, ou encore avoir acheté des cryptos sur Mt.Gox, une affirmation invérifiable alors. Mais tôt ou tard, les plateformes finissent par geler son compte et il est obligé d’aller voir ailleurs.
En ce mois de janvier 2017, l’une des plateformes d’échange répond au FBI. Le compte suspect est au nom d’un certain Alexandre Cazes.
On se retrouve la semaine prochaine pour la fin de cette histoire,
Bonne soirée,
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
AlphaBay, the Largest Online 'Dark Market,' Shut Down
The Hunt for the Dark Web’s Biggest Kingpin, Part 1: The Shadow
La Bibliothèque nationale archive les Skyblogs
Lever le voile sur le mystère Alexandre Cazes
The Hunt for the Dark Web’s Biggest Kingpin, Part 2: Pimp_alex_91
Non, la crypto ne protège pas les criminels, c’est même tout le contraire