Blockchain transparente, données hébergées aux Etats-Unis ou comptes gmail. Les artisans de Locky ont sans doute commis plusieurs erreurs qui ont permis à la justice française de juger, cette semaine, Alexander Vinnik, considéré par les enquêteurs comme l’un des pères de ce rançongiciel.

La 13e chambre correctionnelle du tribunal judiciaire de Paris vient de clore cette semaine l’examen de l’affaire Alexander Vinnik. Ce Russe de 41 ans est soupçonné d’avoir été l’artisan du blanchiment des énormes sommes récoltées par Locky, un rançongiciel qui a sévi en France et dans le monde à partir de 2016. Vendredi 23 octobre, le parquet a requis contre « Mr Bitcoin », l’un de ses surnoms, dix ans d’emprisonnement et 750 000 euros d’amende. Les trois avocats d’Alexander Vinnik ont demandé la relaxe. Le jugement est attendu pour le 7 décembre.

Pour l’un des anciens gendarmes de la section de recherches de Toulouse, qui a travaillé sur cette affaire, l’affaire Vinnik est « un cas d’école ». En analysant les transactions en bitcoin de certaines victimes, les enquêteurs ont en effet réussi à l’époque, en 2016, à identifier un wallet escroc. Ce dernier avait siphonné plus de 20 000 bitcoins, envoyés par la suite vers un wallet [porte-feuille, ndlr] de la plateforme d’échanges de cryptomonnaies BTC-e. « On voit clairement que les victimes ont payé la rançon vers les wallets suspects, et que les rançons ont ensuite été rapatriées directement vers des adresses BTC-e, a expliqué à la barre du tribunal, sûr de lui, ce gendarme, Patrice R. Il n’y a pas d’autre interprétation possible, la blockchain ne ment pas. »

Image d'erreur

Alexander Vinnik // Source : EuroNews

« À l’époque il n’y avait pas autant d’outils pour camoufler les pistes »

Et cet expert en cryptomonnaies désormais en poste à l’agence européenne Europol, de remarquer : «Il peut paraître étonnant aujourd’hui que ces fonds soient transférés sur cette plateforme, mais à l’époque il n’y avait pas autant d’outils pour camoufler les pistes.» Pas sûr qu’une telle affaire se déroule aujourd’hui de la même façon. En quatre ans, les méthodes du cybercrime ont en effet changé. À l’arrosage tous azimut du rançongiciel Locky, alimenté en victimes par un botnet, ont succédé des attaques plus ciblées contre de grandes entreprises. « À l’époque, peu de gens savaient ce qu’était le bitcoin et surtout une blockchain », tant du côté des enquêteurs, pas forcément aguerris à l’utilisation de sites d’analyse des transactions tels que WalletExplorer, que des criminels, rappelle un cyberenquêteur de la police judiciaire à Numerama.

À ce titre, quelles que soient les responsabilités d’Alexander Vinnik, l’utilisation du bitcoin peut être considérée comme la première erreur des artisans de Locky, que ce soit par méconnaissance de la technique ou à cause d’un sentiment d’impunité. « La blockchain du bitcoin est transparente : les transactions sont toujours attachées à une autre, et on peut remonter tous les mouvements depuis la création de chaque bitcoin », signale ainsi à Numerama l’avocat suisse Vincent Mignon.

C’est ainsi que les enquêteurs sont rapidement remontés à la plateforme BTC-e. D’autres cryptomonnaies plus opaques existent pourtant, comme le Monero ou ZCash. Il existe également de nombreux outils pour camoufler les pistes de ses transactions en bitcoin. Ce sont des bitcoins tumbler, ou mixers. « Ces logiciels, centralisés ou décentralisés, fonctionnent comme une grosse machine, et parviennent à couper le lien des transactions », explique Vincent Mignon.

Des données potentiellement accessibles aux autorités judiciaires

La seconde erreur des cerveaux de Locky réside dans le choix de leur hébergeur.

Revenons tout d’abord sur fonctionnement de la plateforme BTC-e, co-fondée, selon les autorités judiciaires américaines, par Alexander Vinnik (ce qu’il conteste). Ce site, en convertissant des bitcoins en d’autres cryptomonnaies ou en devises par le biais de vouchers (des tickets), promettait à ses clients une anonymisation des flux financiers. Mais c’était sans compter un talon d’Achille de taille. Le site était en effet hébergé aux États-Unis par la société CloudFlare. Ce que veut dire que les données internes, dans le viseur des Français pour Locky et des Américains pour le hack de Mt Gox, étaient potentiellement accessibles aux autorités judiciaires. C’était finalement chose faite le 26 juillet 2017, le jour de l’arrestation d’Alexander Vinnik en Grèce. Ce jour-là, le FBI a saisi les données de BTC-e. La prise permettra aux polices françaises et américaines de retracer les flux financiers ayant transité par la plateforme.

Rattacher des comptes BTC-e à… un compte Gmail

Enfin, les gestionnaires de Locky semblent avoir été victimes de leur attrait pour… la tech américaine. Avec la base de données BTC-e entre leurs mains, rien de plus facile pour les autorités judiciaires américaines que de fouiner dans les entrailles de la plateforme. Les enquêteurs découvrent alors que plusieurs comptes suspects de BTC-e sont rattachés à des comptes Gmail. Ils sont attribués à Alexander Vinnik (ce qu’il conteste), après analyse des emails, des documents, et d’un Mac Book Pro et d’un iPhone saisis en Grèce lors de son arrestation. Alors qu’il existe d’autres systèmes de messagerie, comme Protonmail, qui assure offrir « l’une des plus fortes protections de la vie privée au monde »…

une comparateur meilleur vpn numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.