C'est une audience parisienne qui va être regardée de près à Moscou et à Washington. Fait très rare en matière de délinquance informatique, la justice française se penche, à partir de ce lundi, sur le cas d'un Russe de 41 ans soupçonné d'être l'un des cerveaux de Locky, un rançongiciel (un logiciel malveillant qui chiffre, ou «crypte», les données et exige une rançon pour les déverrouiller). Neuf mois seulement après son extradition vers la France, Alexander Vinnik va comparaître durant quatre jours devant le tribunal judiciaire de Paris. Un procès qui devrait n'être que la première étape d'un long marathon procédural, dans une affaire qui mêle technologie, espionnage et géopolitique.
Arrêté en juillet 2017 lors de vacances familiales en Grèce à la demande de la justice américaine, Vinnik est en effet très attendu outre-Atlantique, où on accuse ce natif de l’Oural d’avoir blanchi 4 milliards de dollars (3,4 milliards d’euros) à travers une plateforme d’échange de bitcoins, BTC-e. Malgré sa fermeture par les autorités américaines, une partie des fonds détenus par BTC-e aurait d’ailleurs fini, selon la BBC, dans les poches du FSB, le service de renseignement intérieur de la Russie. Moscou demande également, dans une affaire de fraude liée à BTC-e pour des montants beaucoup plus faibles (9 500 euros), l’extradition de son ressortissant – dont l’un des conseils, Timofei Musatov, est mort en avril dans un accident dans la capitale.
«Les croissants et la tour Eiffel»
A Paris, Alexander Vinnik va devoir répondre d'une série d'infractions informatiques liées au rançongiciel. Mais également des chefs de «blanchiment», d'«association de malfaiteurs», d'«extorsion et de tentative d'extorsion», des délits passibles de dix ans de prison. Maigre consolation pour la défense du Russe : le chef d'«extorsion en bande organisée» – punie, elle, de vingt ans d'emprisonnement – n'a pas été retenu. «Toutes ces infractions sont hors sujet, il n'en a jamais entendu parler de sa vie, balaie Me Frédéric Belot, l'un des avocats d'Alexander Vinnik, contacté par Libération. Il ne comprend pas ce qu'on lui reproche. Il vivait dans un trois-pièces en banlieue de Moscou. La France, pour lui, c'étaient les croissants et la tour Eiffel.»
Pour les deux services d’enquêteurs mobilisés dans cette affaire, les policiers de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti) de la préfecture de police de Paris et les gendarmes de la section de recherches de Bordeaux, tout commence en 2016. Un nouveau logiciel malveillant, Locky, fait son apparition. Ce rançongiciel se dissémine via les pièces jointes de mails frauduleux. En cliquant sur le document attaché, le destinataire appelle le téléchargement d’une charge virale, qui chiffre ses données, récupérables uniquement après paiement d’une rançon. Locky est l’un des premiers de son genre à se diffuser aussi largement dans le monde. Avec succès : selon la justice française, il va permettre de siphonner, entre 2016 et 2018, plus de 20 000 bitcoins (soit 134 millions d’euros à la valeur du bitcoin en juin 2018).
En France, sur les 200 victimes décomptées – des entreprises, des cabinets d’avocats, des collectivités –, 20 passeront à la caisse. En analysant le chemin parcouru par les bitcoins utilisés pour payer les rançons, les enquêteurs découvrent que les fonds alimentent le site BTC-e. Cette plateforme d’échange de cryptomonnaie, peu curieuse sur ses clients – pas besoin de justifier de son identité pour ouvrir un compte –, aurait servi de gigantesque blanchisseuse d’argent sale. Alexander Vinnik est très vite dans le viseur des enquêteurs français. Pour le mettre en cause, ils vont s’appuyer sur un savant mélange d’entraide internationale, d’analyse de comptes Gmail et d’investigations techniques sur l’iPhone et l’ordinateur portable MacBook du Russe. L’enjeu ? Arriver à prouver qu’Alexander Vinnik est bien derrière le compte «Vamnedam» de la plateforme BTC-e, qui a reçu 76% des rançons liées à Locky (évaluées à 8 millions de dollars en bitcoins à son cours de 2016).
Sociétés offshore
Les informations fournies par les Américains vont être capitales pour conforter la procédure française. En fouinant dans la base de données de la plateforme BTC-e, les enquêteurs français établissent un lien entre «Vamnedam» et une adresse Gmail, wmewme@gmail.com. En regardant de plus près dans cette boîte, ils tombent sur des messages nommément adressés au Russe, ainsi que sur la copie du passeport d’Alexander Vinnik. Ils en déduisent que ce compte de courrier électronique est bien contrôlé par le Moscovite. L’analyse de l’iPhone de Vinnik, récupéré suite à son arrestation en Grèce, conforte les enquêteurs. La boîte wmewme@gmail.com est en effet installée sur le smartphone, de même qu’un autre compte Gmail rattaché à «Vamnedam». Quant au MacBook Pro, il contient des documents d’identité de plusieurs personnes, des relevés financiers vers des sociétés offshore et des captures d’écran correspondant à la page de gestion du support technique de BTC-e. Autre élément à charge : une partie des fonds frauduleux reçus par «Vamnedam» ont été transférés sur un autre compte de la plateforme d’échange, au nom de «Petr», qui a cessé de fonctionner le jour de l’arrestation du Russe en Grèce. Pour les enquêteurs français, il s’agit là encore d’Alexander Vinnik : l’étude des adresses IP semble indiquer que ces deux comptes sont gérés par la même personne.
Si les enquêteurs semblent sûrs de l'implication du Moscovite, ils ont, par contre, fait chou blanc sur le reste de la chaîne du rançongiciel, des développeurs aux diffuseurs. Une inconnue qui sera certainement exploitée par la défense lors du procès. «Mon client a été naïf et on a abusé de sa confiance, indique Me Belot. Il travaillait comme freelance pour BTC-e, comme consultant extérieur, et n'a jamais rencontré physiquement, ni par téléphone quelqu'un de cette société. Ses vrais bénéficiaires sont restés masqués et anonymes.» Une version que le prévenu n'a pas développée face aux deux juges d'instruction en charge de ce dossier, Marine Fontange et Pascal Gastineau.
Les quatre interrogatoires ont au contraire été très tendus. Le deuxième, qui s'est déroulé le 13 février, a été suspendu pendant trois heures après le rappel aux avocats, par le doyen des juges d'instruction, des règles de prise de parole. Ce jour-là, Me Ariane Zimra accusera même de torture un garde de la compagnie de protection du tribunal, après son refus de donner à Alexander Vinnik une boisson venue de l'extérieur. L'avocate se plaindra également d'un traitement inhumain suite à un refus de parloir, à quoi l'administration pénitentiaire répondra que ces derniers ne sont pas organisés les dimanches et les jours fériés. De quoi laisser augurer, pour les quatre jours du procès d'Alexander Vinnik, une défense de rupture féroce, plus portée sur la géopolitique que sur la technologie.