Le fondateur présumé de Silk Road, Ross Ulbricht, pensait être à l'abri en créant sa place de marché de drogues et d'autres produits illicites sur Tor, et en faisant payer les commandes par Bitcoin. Mais son utilisation d'un compte Gmail l'a trahi.

Ce mois-ci s'est ouvert à New York le procès de Ross Ulbricht, le fondateur présumé de la plateforme anonyme de vente de drogues et autres produits ou services illégaux Silk Road, qui n'était accessible que par le réseau d'anonymisation Tor et qui n'acceptait que la monnaie décentralisée Bitcoin comme moyen de paiement. La manière dont les enquêteurs ont réussi à remonter jusqu'aux serveurs de Silk Roard est restée largement mystérieuse et sujette à controverses, mais l'on sait désormais comment l'identité de Ross Ulbricht a été découverte.

Lundi, un agent des services fiscaux américains est en effet venu témoigner au procès, pour expliquer la démarche qui lui a permis de découvrir qui avait créé la plateforme qui, selon le dossier à charge, aurait en Bitcoin l'équivalent de 80 millions de dollars de commissions, pour 1,2 milliards de dollars de vente et près d'un million de clients. Or la méthode fut d'une simplicité déconcertante et montre que même ceux qui croient prendre les meilleures précautions restent faillibles.

L'agent du fisc s'est dit que même si Silk Road était efficacement protégé derrière Tor et l'anonymat offert par le Bitcoin, son créateur avait forcément dû faire connaître l'existence du site lors de son lancement, pour convaincre les utilisateurs du web "normal" de venir sur le dark web profiter de ses services. Il a donc eu l'idée de réaliser une simple recherche Google sur l'URL Tor utilisée par Silk Road, et de limiter les résultats aux seules pages référencées avant le 31 janvier 2011, date présumée du lancement public de la plateforme. Bingo.

Par ce biais, l'enquêteur a découvert un message publié par un certain "altoid" le 29 janvier 2011 sur le forum du site Bitcointtalk.org. Le message avait été effacé mais, coup de chance, un utilisateur du forum l'avait cité dans une réponse. "Quelqu'un a-t-il déjà vu Silk Road ? C'est comme un Amazon.com anonyme", disait le message d'Altoid. "Je ne pense pas qu'ils aient de l'héroïne, mais ils vendent d'autres trucs". 

En regardant les autres messages publiés par Altoid, l'agent en a découvert un dans lequel l'utilisateur publiait une petite annonce d'emploi pour un développeur, et qui demandait à envoyer les candidatures vers une adresse Gmail, rossulbricht@gmail.com.

Re-bingo.

Il a suffi ensuite de dérouler le fil pour découvrir que l'adresse e-mail avait été utilisée pour créer des comptes sur d'autres forums liés à la drogue, puis de demander à Google de fournir une copie de tout ce qu'il détenait sur le compte. Outre les courriels qui confirmaient qu'il s'agissait bien du même "altoid", les enquêteurs ont pu lire des conversations Gtalk qui avaient été enregistrées dans l'historique de Google, ou des commandes à Amazon de matériel utilisé pour cultiver des champignons hallucinogènes, qu'il vendait sur Silk Road. 

Par ailleurs, Ulbricht utilisait Torchat pour chiffrer des conversations qu'il avait avec des amis, mais conservait des copies sur son ordinateur portable saisi au moment de son arrestation.

Depuis le démantèlement de Silk Road, un "Silk Road 2.0" avait été lancé, mais son créateur a lui-même été arrêté en novembre 2014. En ce début d'année, une nouvelle plateforme de vente de produits illicites a été lancée, mais en abandonnant Tor au profit de i2P.

Partager sur les réseaux sociaux

Articles liés