Celui qui n’aurait pas dû travailler sur une base de données hébergée aux USA (3/3)
Ou comment l'enquête française s'est focalisée sur Alexander Vinnik.
Bonsoir !
Voici le dernier volet de cette deuxième série sur Alexander Vinnik. Si vous n’êtes pas inscrit à la newsletter, le formulaire pour s’abonner:
On en était où? Ah oui, Alexander Vinnik a finalement été condamné en France pour le blanchiment des rançons de Locky, un rançongiciel (il a fait un pourvoi en cassation). Mais la décision judiciaire est en demi-teinte.
Car M. Bitcoin, son surnom, était poursuivi pour une dizaine d’infractions relatives au fonctionnement du malware. Toutes ont été écartées faute de preuves. C’est clairement un échec pour l’accusation.
La défense plastronne sur l’évaporation de 93% des charges. Le problème, c’est qu’il en reste encore une, et qu’elle coûte cher à Alexander Vinnik: le blanchiment. Et sur ce point là, les éléments à charge n’ont pas manqué. Examinons les en détail.
Tout d’abord, aussi incroyable que cela puisse paraître, il y avait un serveur de BTC-e localisé aux Etats-Unis, chez CloudFlare, un hébergeur basé à San Francisco. Pour rappel, BTC-e était un site d’échange de cryptomonnaies soupçonné d’être une gigantesque blanchisseuse et dirigé, selon l’accusation, par Alexander Vinnik.
Apparemment, le changement d’hébergeur aurait été assez récent avant son arrestation, mais je n’ai pas plus de précisions. Ce mouvement n’a cependant pas échappé aux enquêteurs français qui l’ont signalé, via Europol, aux Américains. Donc en même temps qu’ils arrêtent Alexander Vinnik en Grèce, les enquêteurs américains ont cette opportunité énorme de saisir la base de données BTC-e.
C’est une véritable mine d’or pour eux, et une catastrophe pour le russe. Imaginez : la base de données retrace les échanges entre différents utilisateurs. Bref, tous les flux financiers justement destinés à être masqués.
Ce qui ne veut pas dire que l’enquête est bouclée. Car maintenant, il faut démêler le vrai du faux dans la jungle des comptes BTC-e. Dans leur analyse de synthèse, le FBI explique avoir identifié une douzaine de comptes administrateurs.
Pour eux, deux comptes sont liés à Alexander Vinnik. Il s’agit de WME et de Vamnedam - “je ne vous le donnerai pas” en russe. Un compte chargé de l’administration, des opérations et du support de BTC-e. Pour les enquêteurs français, c’est justement Vamnedam qui a reçu 76% des rançons de Locky.
Auparavant, les fonds ont transité par d’autres comptes aux noms exotiques: Bsmarina4, Nuxnux, Sylvester et MishaKVN. Mais comment prouver que le destinataire est bien Alexander Vinnik?
Alors suivez bien le fil des enquêteurs. Le compte Vamnedam est associé à une adresse gmail. Elle est configurée en langue russe et a été créée en 2011 à partir d’une IP d’un opérateur de téléphonie mobile croate.
Une adresse IP également utilisée pour se connecter à d'autres comptes administrateur de la plateforme : "Sylvester", "Nuxnux", “Danteam”. Or une autre adresse IP était commune à “MishaKVN" et "Danteam". Conclusion: la même personne accèderait à ces différents comptes.
En décembre 2016, le compte Vamnedam est clos et un nouveau compte apparaît, Petr, qui cessera de fonctionner le jour de l'interpellation d’Alexander Vinnik. Or, selon l’analyse de la base de données BTC-e, effectuée par les Américains, les mêmes adresses IP ont été enregistrées pour l’accès aux comptes "Vamnedam", "Grmbit", "Petr" et "WME". Conclusion: la même personne accèderait à ces différents comptes.
Le compte WME va se révéler particulièrement compromettant. Il est associé à un gmail, "wmewme@gmail.com", où les enquêteurs retrouvent des documents associés à l'identité d’Alexander Vinnik, dont une copie de son passeport. Ce compte de messagerie reçoit également des mails envoyés au gmail associé à Vamnedam. Conclusion: la même personne accèderait à ces différents comptes.
Les enquêteurs vont enfin glaner des choses intéressantes dans l’Iphone et le Macbook saisis en Grèce. Dans l’Iphone 6s Plus, le FBI observe que quatre comptes mails sont configurés, dont WME et Vamnedam. Et dans le Mac Book Pro, ils retrouvent plusieurs screenshots de l’interface administrateur de BTC-e.
Autant d’éléments à charge qui vont être contestés par la défense au cours des deux procès parisiens. Arrêtons-nous un instant sur l’équipe qui défend le russe en France. Pour le premier procès, ils sont trois avocats, Me Belot, Me Zimra et Me Konstantopoúlou.
Le premier est chargé de plaider le droit et d’arrondir les angles. La troisième, une personnalité politique grecque, est une ancienne membre de la coalition de gauche radicale Syriza. Elle doit porter la thèse du bafouement des droits les plus élémentaires (évalué à une demande de réparation de cinq millions d’euros en appel) d’Alexander Vinnik dans un style très spectaculaire qui a marqué le Palais.
Entre les deux, Me Zimra, qui a suivi l’instruction, a eu plus de mal à se faire sa place. Elle ne fera d’ailleurs plus partie de l’équipe de défense en appel.
Alors que vont-ils dire pour tenter d’obtenir la relaxe? Les juristes vont d’abord tenter de minorer l’action de leur client au sein de BTC-e. Plutôt qu’administrateur, il n’aurait été qu’un simple opérateur de BTC-e, l’une des personnes qui avait accès aux comptes litigieux. Et s’il a mal agi, c’est sur ordre de supérieurs qu’il ne connaît pas, et pas pour s’en mettre plein les poches.
A noter à ce sujet que l’acte d’accusation américain précise qu’un autre suspect, lui aussi russe, “M. X”, a également accès au compte Vamnedam. On pense évidemment à Aleksey Bilyuchenko, l’autre personne impliquée dans BTC-e, mais ce n’est qu’une supposition.
La défense va ensuite pilonner les preuves présentées contre Alexander Vinnik, qu’elle estime douteuses. Selon la défense, puisque les Français ont eu des copies (base de données, téléphone, ordinateur), ces preuves pourraient très bien avoir été trafiquées par les Etats-Unis, qui ont les originaux.
C’est un résumé, je vous invite à relire mes comptes-rendus d’audience sur les procès pour vous faire une idée. Bon, vous le savez déjà, ces arguments n’ont pas réussi à faire pencher la balance du bon côté pour Alexander Vinnik.
Aux dernières nouvelles, il purge toujours sa peine. Le protocole prévu par les Grecs lors de son extradition en France prévoit son renvoi vers Athènes une fois le jugement irrévocable de ses affaires (un pourvoi en cassation est toujours en cours) et après exécution des peines.
La question de son extradition outre-Atlantique reste donc toujours pendante. On devrait probablement en reparler cette année, vu que le temps de détention d’Alexander Vinnik en France doit toucher prochainement à sa fin.
Si on résume: recevoir les rançons en bitcoins d’un ransomware ne fait pas forcément de vous le baron de la cybercriminalité, juste le grand blanchisseur. Ok, mais alors, qui est donc vraiment Alexander Vinnik?
A dans quinze jours pour un prochain épisode,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple la Stout d’Azimut -, c'est ici, ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).