Celui qui voulait avoir un pourboire (rediffusion)
OxyMonster n'est pas seulement un vendeur actif sur Dream Market, c'est aussi un modérateur du site. Qui ne crache pas d'ailleurs sur les pourboires.
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned sur la traque d’OxyMonster (une rediffusion), ce vendeur très actif sur Dream Market. Mais tout d’abord, si vous n’êtes pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
La semaine dernière, je vous racontais que la DEA avait patiemment attendu qu’OxyMonster traverse l’Atlantique pour le cueillir à l’arrivée. Ce dernier ne le sait pas, mais il a donné un gros coup de pouce à l’enquête.
C’est toutefois bien involontaire et très humain. Franchement, vous n’avez jamais eu l’impression qu’on abusait un peu de vous et que, somme toute, vous mériteriez bien une récompense pour le coup de main donné?
Imaginons par exemple que vous soyez un modérateur d’un forum sur Internet. Vous passez votre temps à répondre aux questions de gens qui n’ont pas même pris la peine de faire une petite recherche au préalable, et qui oublieront aussitôt de vous dire merci.
Est-ce qu'OxyMonster pensait également que tout travail mérite salaire ? Je n'en sais rien. Mais toujours est-il que sur sa bio sur Dream Market, il y a un lien vers une adresse de cryptomonnaie pour recevoir les pourboires destinés au staff. Voici le message en question:
We highly recommend using TradeRoute for purchasing from us:
Traderouteilbgzt.onion/?shop=OxyMonster...
THE OFFICIAL TIP JAR FOR “DREAM TEAM” (STAFF) IS:
lDREAMv7kl6T8bMyE7ghe4nL QVSdBbPJAe.
La mention de cette adresse crypto intéresse les enquêteurs. A la fin juin 2017, ils regardent où l’argent part. Bonne pioche: c’est assez inespéré, les transactions ne passent pas par un mixeur de crypto-monnaie !
Le portefeuille a au contraire envoyé à quinze reprises des bitcoin vers le site finlandais localbitcoins.com pour les vendre. Dit autrement, à quinze reprises, quelqu'un - peut être OxyMonster - a encaissé des pourboires. Après tout, le modérateur l’avait bien mérité, non, avec son millier de messages sur le forum?
Pour s’inscrire sur localbitcoins, pas besoin de carte d’identité. Est-ce alors une piste qui se transforme en impasse? Pas tout à fait. La seule information que l’opérateur du site peut envoyer en réponse à la réquisition judiciaire américaine, c’est le nom de l’utilisateur.
Ce qui aurait fait une belle jambe aux agents de la DEA si OxyMonster n’avait pas fait une énorme boulette. Comme l'explique le podcast Darknet Diaries, son login sur localbitcoins est Vallerius.
Les enquêteurs vont s'accrocher à ce fil ténu. Si c’est Vallerius, c’est sans doute un nom de famille. Et il pourrait bien correspondre à ce hipster de Gal Vallerius, qui tweete sans cesse sur sa barbe.
OxyMonster et Gal Vallerius semblent en effet avoir les mêmes tics de langage: cheers, l’emploi d’un double point d’exclamation, “!!”, ou encore quelques mots en Français.
Bon, ça vous paraît maigre, ces éléments ? Moi aussi. Mais si on en croit Forebears.io, un site de généalogie, Vallerius est un nom de famille extrêmement rare. Ce site ne compte que 187 Vallerius dans le monde, ce qui est vraiment très peu. Par exemple, si on regarde pour les Thierry, mon nom de famille, il y aurait 51175 personnes portant ce patronyme.
Donc l'intuition des agents de la DEA a du sens: Gal Vallerius, ce mec qui vient d’annoncer sur twitter qu’il serait de la partie pour le prochain concours de barbe à Austin, c’est peut-être leur homme. En tout cas, la probabilité est assez grande pour tenter quelque chose.
Et qui sait, il va peut-être profiter du voyage pour suivre ses ventes, parce que ce genre de trafic ne s’arrête jamais? La suite est assez rocambolesque. Quand le couple (Gal Vallerius voyage avec sa compagne) arrive à Atlanta, les agents américains mettent au point un piège un peu vicieux.
Ce sont les enquêteurs des douanes qui sont à la manœuvre. Des agents expliquent au couple vouloir procéder à un contrôle de routine sur leur informatique. Histoire de vérifier qu’ils ne se baladent pas avec des images pédopornographiques.
En fait, c’est un motif bateau pour ne pas inquiéter OxyMonster. Gal Vallerius donne son code pin de son téléphone et son login pour son ordinateur portable. Les douanes transmettent les infos aux agents de la DEA dans la pièce à côté avec l'informatique saisie.
Bingo: son laptop contient bien ses identifiants pour se connecter à Dream Market et la clé PGP d’OxyMonster, utilisée sur le site pour attester de son identité sur le marché noir.
Bien plus tard, le stratagème pour coincer Gal Vallerius sera dénoncé sans résultat par la défense. Je vous épargne les détails, mais le rejet de cette demande tient notamment aux spécificités juridiques de la zone de retenue douanière où était cuisiné le suspect.
Son avocat plaidera également en vain la défonce - OxyMonster aurait été dans les vapes à l’atterrissage à cause de l’ingestion de drogues durant le voyage -, son consentement n’aurait donc pas vraiment été éclairé.
Réfutant tout piège, les agents américains affirmeront plus tard avoir dit à Gal Vallerius qu’ils cherchaient, nuance importante des activités de contrebande ou criminelles, dont de la pédopornographie. On vous l’a déjà dit, mais il faut toujours lire un contrat jusqu’au bout avant de signer. Là, c’est la même chose.
Il est 15h12, à peine trois heures se sont écoulées depuis l'atterrissage à Atlanta. Mais les carottes sont déjà cuites pour le barbu breton. Le coup de poker de la DEA a réussi.
On en reparle la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources