Celui qui n’était pas le plus gros poisson (3/3)
Ou comment on découvre que Sven Kamphuis n'est pas le plus gros poisson du cyberbunker.
Bonsoir,
Bienvenue pour la (longue) fin de cet épisode de Pwned. Vous êtes nombreux à vous êtes inscrits après mon interview dans le podcast NoLimitSecu, merci !
Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement les prochains épisodes de Pwned.
La semaine dernière, je vous parlais de la chute de l’hacktiviste Sven Olaf Kamphuis après la gigantesque attaque en déni de service contre Spamhaus. Mais la conclusion judiciaire de cette affaire en 2016 avait un goût d’inachevé car elle ne permettait toujours pas d’en savoir plus sur ce mystérieux cyberbunker, dont Kamphuis avait affirmé être le porte-parole ou le ministre des Affaires étrangères.
Tout commence en fait en 1995, au sud des Pays-Bas. Un entrepreneur hollandais, Herman-Johan Xennt, vient de s’offrir une petite gâterie. Un ancien bunker de l’Otan. “Certains aiment le sport automobile, d’autres les hamburgers, expliquera-t-il en substance au New-Yorker. Moi, j’aime les bunkers. Et je suis incapable d’expliquer pourquoi.”
A l’époque, il a 35 ans. Ce fan de science-fiction a troqué son nom originel (Verwoert-Derksen) pour le beaucoup plus sexy “Xennt”. Une photo de presse, prise bien plus tard, montre cet homme aux longs cheveux blonds habillé tout en noir, emmitouflé dans une chaude veste matelassée.
Voici donc la première demeure du fameux cyberbunker, un lieu qui va être dédié à un hébergement web un peu spécial. En fait, moyennant un gros bifton, on peut y héberger tout type de contenu sensible. C’est en fait essentiellement de la pornographie, tandis que la pédopornographie et les contenus liés au terrorisme sont proscrits.
L’argumentaire commercial du cyberbunker a une punch-line percutante. Il dit qu’il est hébergeur “bulletproof”, à l’épreuve des balles. En clair, l’entreprise ne parlera pas à la police ou à la justice des contenus qu'elle diffuse.
Ce premier site est aménagé avec soin, dans une ambiance mixant utopie techno-anarchiste et sexe. Sur des photos, on voit de beaux canapés noirs et des lampes néon rouge au plafond. Il y a aussi des ordinateurs un peu partout et une salle réservée pour des sex-shows. Puis, quatre ans après la création du cyberbunker, en 1999, un jeune homme aux sourcils broussailleux arrive: Sven Kamphuis.
Il va rapidement devenir l’un des piliers du cyberbunker. Mais en juillet 2002, c’est la cata. Le bunker est ravagé par les flammes. Sven Kamphuis est d’ailleurs brûlé aux mains et au visage. Le sinistre attire l’attention de la police locale. Surprise: en allant inspecter les décombres, elle découvre aussi les restes d’un laboratoire d’ecstasy.
Si le cyberbunker échappe aux poursuites judiciaires, rejetant la faute sur d’indélicats locataires, il doit déménager, par exemple à Amsterdam, même s’il prétend opérer toujours derrière des murs en béton armé.
Mais en 2012, bonne nouvelle. Un bunker construit dans les années 70 par la Bundeswehr est à vendre à Traben-Trarbach. L’édifice surplombe cette petite ville allemande, à cent kilomètres de la frontière luxembourgeoise, depuis les hauteurs du Mont-Royal.
Après l’avoir longtemps utilisé comme station météo, l’armée allemande veut s’en débarrasser pour 350 000 euros. Pour l’économie locale, c’est une mauvaise nouvelle. Alors, quand Herman Xennt arrive pour dire qu’il est intéressé par un rachat pour son entreprise d’hébergement web, il fait un peu figure de sauveur.
Mais son investissement n’est pas si clair. Tiens, c’est étrange, le bunker est gardé par cinq molosses, visiblement des Rottweilers. Est-ce vraiment judicieux pour un data-center de s’installer dans un ancien bunker?
Et puis les occupants vivent en vase clos. Si le site est immense, il n’y a qu’une seule douche pour une vingtaine de personnes sur place, dont la famille de Herman Xennt, un jardinier et un cuisinier. La fine équipe descend parfois en ville en BMW pour regarder les matchs de l’Ajax Amsterdam, avant d’aller faire un tour au club de strip-tease de Trèves.
Il y a quelque chose de louche, et la police est discrètement alertée. Pour en savoir plus, en 2015, des policiers allemands branchent un dispositif espion sur le trafic web entrant dans le bunker. Ils ont alors confirmation de l’activité illégale de nombreux sites hébergés. Et l'important volume du trafic chiffré suggère que le lieu héberge des marchés noirs du web.
Alors oui, c’est pas très joli, mais sur le plan légal, l’entreprise d’Herman Xennt est-elle vraiment en dehors des clous? Pas sûr, car qui dit que la société a un rôle actif et qu’elle est au courant qu’elle héberge du contenu illicite?
Mais cette même année 2015, il y a un nouveau signal d’alarme qui retentit à Traben-Trarbach. Nicola Tallant, une journaliste du Sunday World, un hebdomadaire irlandais, déniche un super scoop. Elle a retrouvé la trace à Traben-Trarbach d’un éminent membre de la pègre irlandaise, George “Le Pingouin” Mitchell.
Et sur la photo de une de l’hebdomadaire, qui voit-on à ses côtés marchant dans la ville allemande? Herman Xennt. Vous l’avez compris, ça commence à faire beaucoup. Pourtant, il faudra encore quatre longues années, on ne sait pas trop pourquoi, à la police allemande pour boucler son enquête.
On sait par exemple qu’un enquêteur va infiltrer le bunker, visiblement en tant qu’ouvrier ou jardinier. Assez classiquement, il va y aussi avoir des écoutes téléphoniques. Puis les policiers allemands mettent en place un stratagème assez malin, une sorte de coup d’achat.
Les cyberpoliciers ouvrent un site de fausse loterie sur le dark web, qui a tout l’air d’une arnaque. Ils demandent alors de louer un serveur sur le cyberbunker. Et ils constatent que non seulement l’entreprise accepte, mais qu’elle les aident activement alors qu’il est clair que la fausse loterie semble être une opération louche.
Six ans après l’arrivée du cyberbunker dans la ville allemande, ce jeudi 26 septembre 2019, une imposante opération policière est déclenchée. Ainsi, 650 policiers débarquent dans l’ancien bunker, dans le restaurant où est attablée l’équipe du cyberbunker et on imagine sur d’autres sites d’intérêt.
La moisson policière est gigantesque. Ils vont saisir 41 millions de dollars liés à des marchés noirs, comme le Wall Street Market, ou à d’autres activités cybercriminelles.
Les 400 serveurs saisis représentent 2 millions de gigaoctets de données. Sans même un seul site licite hébergé, notent avec ironie les procureurs. On saura plus tard que contrairement aux promesses initiales, il y a aussi des contenus pédopornographiques. Mais le bunker a aussi un temps hébergé Wikileaks et d’autres services de téléchargement contreversés, comme The Pirate Bay.
La spectaculaire opération policière se solde par le procès de huit personnes. Le principal accusé, c’est donc Herman Xennt. On va alors découvrir que sa rencontre en 2015 avec “Le Pingouin“, le caïd irlandais, n’a rien d’une première. On pense alors que les deux hommes planchent alors sur le développement d’un réseau téléphonique chiffré.
Mais en fait, leur relation est beaucoup plus ancienne. Selon les écoutes policières menées durant l’enquête, c’est le trafiquant de drogue irlandais qui aurait prêté à Herman Xennt les 700 000 euros nécessaires à l’achat du premier cyberbunker, celui du sud des Pays-Bas. A l’époque, la police irlandaise soupçonne “Le Pingouin” d’être actif dans le trafic d'ecstasy. Tiens, cela ne vous rappelle pas un curieux incendie?
Selon le Sunday World, les deux hommes se sont rencontrés en trafiquant des pièces d’ordinateur volées. Avant de finir par se brouiller, bien avant la descente de la police. Ce qui expliquerait, outre les 16 téléphones du Pingouin qui ont compliqué sa surveillance, pourquoi ce dernier n’est pas poursuivi dans l’histoire.
Ce n’est pas le seul à s’en sortir sans encombre. Si l’opération judiciaire allemande s’est soldée par l’ouverture de 227 poursuites judiciaires contre des clients du bunker, Sven Kamphuis, dont on a tant parlé, ne fait pas lui aussi partie des personnes poursuivies.
Ce qui est de prime abord assez étrange, parce qu’il avait visiblement joué un rôle important dans la mise en place de l’infrastructure du cyber bunker et donné un coup de main pour le projet de téléphones chiffrés.
Ce vieux communiqué de la Motion Picture Association, en mai 2010, fait par exemple le lien entre sa société CB3rob et le Cyberbunker, pour l’affaire de l’hébergement de The Pirate Bay.
Sauf qu’après ces années fastes, Sven Kamphuis semble s’être écarté du cyberbunker. Ainsi, il n’est pas resté longtemps dans les locaux du site allemand.
Cette prise de large explique sans doute pourquoi son cas ait été laissé de côté. Et puis l’homme est visiblement un peu barge. Vous vous rappelez de cette histoire de république du cyberbunker?
Si Sven Kamphuis la prend au premier degré, il est manifestement le seul. Et tout cas, Herman Xennt n’y croit pas. Le plus gros poisson du cyberbunker sera finalement condamné en décembre 2021 à près de six ans de prison pour avoir hébergé des marchés noirs illégaux du net.
A bientôt pour une prochaine histoire de cybercrime,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
The Cold War Bunker That Became Home to a Dark-Web Empire
The German Bunker that Became a Hub of International Crime
German Cops Raid “Cyberbunker 2.0,” Arrest 7 in Child Porn, Dark Web Market Sting
Près de six ans de prison pour l'exploitant du cyberbunker
Revealed: George 'The Penguin' Mitchell's porn hub past
George 'The Penguin' Mitchell named in massive German 'cyberbunker' trial