A San Francisco, les habitants du quartier de Mission sont plus habitués à croiser sur leurs trottoirs des vendeurs de tacos et des salariés de la Silicon Valley qui attendent leur Google Bus qu’une équipe du FBI engoncée dans des gilets pare-balles.
D’où la surprise, exprimée sur les réseaux sociaux par plusieurs riverains, lorsque les fédéraux ont perquisitionné, jeudi 6 novembre, le domicile et la voiture électrique haut de gamme d'un habitant – un certain Blake Benthall, informaticien de 26 ans et ancien employé d’une start-up comme il y en a tant d’autres dans la région.
Vraisemblablement, les voisins de M. Benthall ignoraient qu'il était soupçonné par le FBI d’avoir dirigé Silk Road 2, un des plus grands sites « cachés » de vente de drogue et de faux documents d’identité. Selon le document d’accusation, ce site aurait généré près de 8 millions de dollars (6,4 millions d'euros) de chiffre d’affaires par mois, sur lequel M. Benthall touchait une généreuse commission.
Deux serveurs saisis en France
Ce type de scène s'est répété le même jour partout dans le monde. Quasiment au même moment, des policiers français, anglais, irlandais ou encore allemands ont mis la main sur de nombreux serveurs informatiques, et ont procédé, selon les cas, à des interpellations – réalisant le plus vaste coup de filet de la courte histoire de ce que les médias ont appelé le « darkweb ».
L'opération, baptisée « Onymous », a été menée conjointement par le FBI et Europol, et était en préparation depuis plus de six mois. « La France a fait l’objet d’une demande d’entraide pénale émise par le FBI », nous explique Catherine Chambon, sous‐directrice de la lutte contre la cybercriminalité à la Direction centrale de la police judiciaire. Elle se félicite d'une « très belle opération », rendue possible grâce aux informations fournies par les Américains.
« Nous avons participé à la coordination et à l’opération qui a eu lieu dans plusieurs pays le 6 novembre et dont l’objectif était de mettre fin au fonctionnement des serveurs impliqués [dans l'activité de ces sites illégaux]. »
En France, deux serveurs situés dans de grandes entreprises d’hébergement ont été saisis et stoppés, selon Mme Chambon. Les données contenues dans les serveurs sont désormais en possession de la police, qui va procéder à leur « exploitation ».
Dix-sept arrestations
Mais la police française n'a interpellé personne, signe que le ou les individus qui opéraient ces serveurs agissaient depuis l’étranger. En tout, l'opération « Onymous » a conduit à 17 arrestations dans le monde : six au Royaume-Uni, deux en Irlande (dont un vendeur présumé – la police irlandaise ayant aussi récupéré une liste d'adresses de clients), et plusieurs en Allemagne, selon l'agence Associated Press, citant des procureurs néerlandais (le siège d'Europol étant aux Pays-Bas).
Outre la France, des serveurs ont été saisis aux Etats-Unis, aux Pays-Bas, en Allemagne, ou encore en Bulgarie. En tout, 16 pays européens étaient impliqués dans cette opération.
Les autorités ont réussi à saisir plusieurs « services cachés » de vente illégale. Ces sites Internet étaient accessibles uniquement depuis une connexion sur le réseau TOR, le système d’anonymisation et anticensure prisé, notamment, par les trafiquants de drogue en ligne. L'anonymisation permise par TOR devait rendre les utilisateurs intraçables, de même que les sites sur lesquels ils effectuaient leurs achats. En théorie.
Après s’être vantées, dans la foulée de l’annonce de leur opération, de la saisie de plus de 400 de ces sites cachés, les autorités américaines ont revu ce chiffre à la baisse. L'opération « Onymous » aurait en réalité permis de mettre la main sur une trentaine de sites. Un décompte qui reste sans précédent, et cohérent avec celui réalisé dimanche 9 novembre par le gestionnaire d’un moteur de recherche dans TOR.
Selon nos constatations, plusieurs des principaux sites de vente de drogue en ligne – notamment Cloud Nine, Hydra, Pandora, Alpaca et Blue Sky – étaient effectivement inaccessibles et affichaient un message du FBI et d’Europol après le 6 novembre.
Qui est Benthall ?
Parmi ces nombreuses prises, les enquêteurs avaient tout de même identifié une cible privilégiée : le tenancier de Silk Road 2. Sur les réseaux sociaux, les photos et les messages de Blake Benthall dressent un portrait d’un jeune homme d'une vingtaine d'années typique de San Francisco, roulant en Tesla, mangeant des burgers, adepte du festival texan SXSW et blaguant sur les start-up. Ancien employé de SpaceX, une entreprise qui envoie des navettes dans l'espace, il avait récemment lancé son propre incubateur à entreprises.
Le document d'accusation fourni par le FBI à la justice américaine, opportunément rendu public dans la foulée de son arrestation, dresse un tout autre portrait du jeune homme. Les policiers fédéraux l’accusent d’avoir été, sous le pseudonyme « Defcon », la tête pensante de Silk Road 2, créé dans la foulée de la mise hors ligne de Silk Road premier du nom et de l’arrestation de son dirigeant présumé.
En moins d’un an, Silk Road 2 était devenu un des « marchés criminels les plus prisés, vastes et sophistiqués », écrit le FBI. Dans le catalogue proposé par le site : beaucoup de drogue, des programmes informatiques qui pouvaient servir à des piratages informatiques et des faux documents. Le FBI précise que contre quelques bitcoins, les acheteurs pouvaient acquérir un faux passeport danois (d'une valeur d'environ 2 414 dollars), un faux permis de conduire du New Jersey (environ 98 dollars), 5 grammes de cocaïne (environ 488 dollars) ou une méthode pour pirater un compte Gmail (environ 42 dollars).
Infiltration du FBI
De telles informations ont été compilées sur le long terme par les fédéraux américains, qui ont infiltré les arcanes de Silk Road 2 dès son apparition à l'automne 2013. Ceci grâce à un membre anonyme du site, faisant parti des enquêteurs, qui a progressivement réussi à monter les échelons du nouveau portail. Cet agent infiltré a, ce faisant, eu accès à des zones de Silk Road 2 inaccessibles aux simples clients, qui sont décrites en partie dans le document du FBI.
Le gérant du site, « Defcon », y est décrit comme l'unique pilote des opérations, à la fois sur le plan technique (il affirme procéder à des interventions sur les serveurs du site pour en garantir la confidentialité), financier (il va un jour augmenter le montant de sa commission en raison des « risques » qu’il encourt) et même stratégique (il tente de débaucher des vendeurs dans des sites de vente concurrents).
Il dispose même d’une petite équipe rémunérée en bitcoin pour l’aider dans ces opérations – celle qu'a réussi à intégrer l'agent infiltré du FBI. « Ces membres traitent Defcon comme leur dirigeant et comptent sur lui pour mener à bien leur mission, répondre aux questions des utilisateurs et résoudre les litiges entre les acheteurs et les vendeurs », écrit la police fédérale, pour qui Blake Benthall se cache derrière ce pseudonyme.
Pied nickelé
Si on en croit le document du FBI, M. Benthall a en effet commis de très nombreuses erreurs permettant de relier son activité illégale à son identité civile. Parmi elles, celle de louer le serveur sur lequel fonctionnait Silk Road 2 avec son adresse mail personnelle, qui comporte son nom et son prénom, et qui fonctionne sous Gmail, le service de Google, qui coopère régulièrement avec les autorités.
Par ailleurs, M. Benthall aurait utilisé cette même adresse personnelle pour communiquer avec l’entreprise qui hébergeait Silk Road 2. Il n’a pas fallu beaucoup plus pour que le FBI ne mette M. Benthall sous surveillance physique, qui a permis de récolter des preuves supplémentaires de son implication : selon les enquêteurs, les absences de M. Benthall de son domicile, constatée par un policier en planque, correspondaient aux périodes d’absence de Defcon sur Silk Road 2.
Comme si ça n’était pas suffisant, le FBI a obtenu, grâce à un mandat, accès à la boîte mail personnelle de M. Benthall. Sur celle-ci, les fédéraux découvrent un message, que le jeune homme s’est envoyé à lui-même sans doute à des fins d’archives, contenant plusieurs liens internes à Silk Road 2. Des liens auxquels seul l’administrateur du site pouvait avoir accès.
Enfin, les enquêteurs constatent qu'en juin 2014, l’administrateur de Silk Road 2 se connecte au service client de son hébergeur depuis l'accès à Internet, non sécurisé, d’un hôtel de Lake Tahoe, en Californie. Au même moment, Blake Benthall se géolocalise sur Instagram dans le même établissement.
TOR est-il compromis ?
Dans la chronique détaillée de l’enquête du FBI, un élément est toutefois passé sous silence : comment les enquêteurs ont-ils identifié le serveur de Silk Road 2, qui leur a permis d'identifier le principal suspect, Blake Benthall ? Les fédéraux ont-ils réussi à contourner les protections offertes par le réseau TOR, qui doit rendre impossible toute identification des sites cachés ?
Les autorités liées à l'opération « Onymous » ne veulent pas s'étendre sur le sujet. « Nous ne pouvons pas partager avec le monde entier la manière dont nous avons procédé, car nous voulons le faire encore, encore et encore », a commenté le porte-parole d'Europol, interrogé par Wired. Le porte-parole d’Eurojust, pendant judiciaire d’Europol, a affiché la même satisfaction cryptique dans le Wall Street Journal : « [Cette opération] va tout changer. Vous n’êtes plus anonymes lorsque vous utilisez TOR ».
L'annonce fait bondir le TOR Project, le collectif qui développe le logiciel permettant d'accéder au réseau anonyme – utilisé aussi par des journalistes, activistes et citoyens désireux de protéger leur vie privée contre des agences gouvernementales, notamment après les révélations d'Edward Snowden.
« Dans des démocraties libérales, nous nous attendons à ce que, lorsque le temps sera venu de juger les dix-sept personnes qui ont été arrêtées, la police explique au juge comment les suspects sont devenus suspects, et qu’en marge de cette opération de justice, TOR puisse savoir s’il existe des failles de sécurité dans les “services cachés” ou d’autres services cruciaux [...] qui pourraient être exploitées par des criminels ou des forces de police réprimant la dissidence. »
Pour le moment, Andrew Lewman, le directeur exécutif du TOR Project, se veut rassurant sur la robustesse de son outil : « On dirait que le bon vieux travail de police continue d’être efficace. » Il est possible, cependant, que le FBI ou d'autres services aient pu avoir accès aux résultats des chercheurs qui prétendaient avoir trouvé un moyen de désanonymiser TOR. Ou qu'ils aient pu profiter d'une faille dans l'utilisation du bitcoin, dont des chercheurs ont récemment affirmé qu'elle pourrait laisser fuiter l'identité d'un utilisateur.
