C’est un procès inédit qui se tient à Paris cette semaine. L’accusé est connu de tous les cyber enquêteurs de la planète : Alexander Vinnik, ressortissant russe, extradé de Grèce où il a été interpellé à la demande du FBI.
Alexander Vinnik est accusé d’avoir blanchi par millions l'argent de rançons obtenues après le piratage et le blocage en 2016 d’ordinateurs de plus de 200 particuliers et sociétés installés en France, en majorité dans le Sud-Ouest. En tout cas les ordinateurs de celles et ceux qui ont porté plainte. Car on parle en fait, dans ce genre d'histoires, de milliers de victimes à travers la planète, avec parfois des sociétés coulées en quelques clics et donc en quelques minutes, une fois les systèmes informatiques détruits parce que les victimes ont refusé de payer des rançons.
Des rançons payées en Bitcoin
Mardi dernier, devant la 13ème chambre du tribunal de Paris, le chef initial de cette enquête hors norme est venu expliquer comment les cyber-gendarmes (de Toulouse puis de Bordeaux avec l'appui d'Europol) ont apporté suffisamment de preuves numériques pour que des magistrats instructeurs renvoient Alexander Vinnik devant un tribunal.
Il est, selon plusieurs spécialistes en cybercriminalité que nous avons pu joindre, le premier enquêteur gendarme qui en France a parfaitement compris en 2016, à l'époque des faits, autant dire l'antiquité dans le monde de l'informatique et de la cybercriminalité, le principe des cryptomonnaies. Il a notamment compris surtout comment les pirates informatiques parvenaient à transformer des rançons payées en monnaie virtuelle, en l’occurrence en Bitcoin, en monnaie sonnante et trébuchante dans la vraie vie. En clair, ce cyber-gendarme - dont l’identité n’a pas été dévoilée - a compris comment on pouvait blanchir cet argent obtenu de façon crapuleuse...
Une sorte de cyber-Sherlock Holmes français
Ce récit lors de l'audience de mardi dans cette salle très moderne du palais de justice de Paris était fascinant... L’enquêteur, était en poste à Toulouse à la section de recherche régionale de la gendarmerie. Il raconte à la barre comment il s’est retrouvé à travailler sur ces plaintes de particuliers et de sociétés victimes en série de piratages informatiques et de demandes de rançons. Il a vite su qu'il s'agissait d'un ransomware, un logiciel malveillant baptisé Locky, que ça frappait partout et pas seulement dans le sud-ouest de la France. Il a vite compris aussi que les pirates n'étaient pas en France. Il a alors décidé de faire comme certains enquêteurs dans les stups : vous ne pouvez pas arrêter le trafiquant installé au Maroc ou en Colombie... alors vous essayez de tracer l'argent, le cash, et dans le cas qui nous occupe ici, la cybermonnaie du crime. Il s’agit alors de chercher à identifier ceux qui collectent l'argent. L’enquêteur a donc suivi la trace informatique des bitcoins des rançons payées par les victimes de la région toulousaine.
En 2016, le cheminement n’était pas intraçable ; beaucoup moins compliqué que ça ne l’est devenu. Le cyber-gendarme toulousain explique à la barre qu’à l'époque il n’a pas eu affaire aux écrans multiples, aux rebonds, au "bazar très organisé" que l'on peut voir aujourd'hui dès que l'on veut remonter des transactions financières douteuses opérées en Bitcoins et autres cryptomonnaies.
En 2016 donc, c'était en fait "très simple" ; l’enquêteur constate que les paiements des rançons arrivent sur une même plateforme d'échange de monnaies virtuelles, hébergée aux Etats-Unis. Depuis Toulouse, il demande des renseignements comme le ferait un enquêteur classique à une banque. Et il reçoit une réponse, à son plus grand étonnement, confie t-il. Il apprend que les versements aboutissent sur un même compte - porte-monnaie ou portefeuille, "wallet" en anglais (l’expert gendarme utilise tous les termes et toutes les définitions pour que le tribunal et le public comprennent bien le processus ...). Du coup, il fait une deuxième demande sur le mode "à qui appartient ce Wallet" ? Mais là, ce n’est pas tout à fait la réponse espérée : panne informatique, bug de serveur. Désolé.
De Toulouse à la Haye et coopération inédite avec le FBI
L'enquête aurait pu s'arrêter là. On n’aurait jamais vu Alexander Vinnik - chemise noire, veste noire sportive, coupe de cheveu rasée au plus près - dans un box des prévenus en France.
Le dossier part à Bordeaux il y a deux ans dans une plus grosse cellule d'enquête. Le cyber-gendarme toulousain, lui, décroche un poste à Europol au siège des polices européennes à La Haye aux Pays-bas. A la barre, il raconte comment, aux Etats-Unis, le FBI soupçonne à cette époque un ressortissant russe, un certain Alexander Vinnik, d'être un gros opérateur de cette plateforme d'échange de monnaie virtuelle (BTC-e) repérée par les cyber-gendarmes. Les limiers américains le soupçonnent d'être aussi impliqué dans les scandales à tiroir de piratages informatiques lors de campagnes électorales aux Etats-Unis il y a 4 ans ainsi qu’en France ! La plateforme est démantelée, des ordinateurs saisis. Alexander Vinnik finit par être repéré et arrêté en Grèce.
C'est grâce à l'échange de données entre le FBI et Europol que l'on va finir par découvrir que l'argent des rançons des victimes françaises, à chaque fois la même somme, atterrit presque toujours sur un portefeuille intitulé "Vamnedam". On va découvrir aussi que par la suite, en l’espace de quelques mois, plusieurs millions de dollars sont transformés en argent bien réel via des coupons, des vouchers et qu’in fine une carte bleue a servi avec des vrais dollars à acheter du caviar près de Moscou.
Selon l'accusation, le gestionnaire de ce portefeuille rempli d'argent extorqué s'appelle bien Alexander Vinnik. Ce que le prévenu et ses avocats contestent totalement.
Qui est vraiment Alexander Vinnik ?
Les Américains ont tout fait pour le faire juger aux Etats-unis mais la Grèce a refusé. Et ce sont donc les magistrats et les enquêteurs français qui ont emporté le morceau, tandis que les Russes ont mis une pression énorme pour empêcher l'extradition de leur compatriote. Au point que le ministre des affaires étrangères russe Serguei Lavrov est monté à la tribune de l'ONU pour dénoncer les tripatouillages entre Washington et Bruxelles...!
Le procès devait s'achever ce jeudi soir et être mis en délibéré mais les avocats d'Alexander Vinnik dont une ex-ministre de la Justice grecque multiplient les demandes d'explications, contestent la saisie initiale des ordinateurs de Vinnik. Étaient-ce bien ses propres ordinateurs ?
Quant aux traductrices russes, elles doivent jongler entre le français, le russe et le jargon informatique en anglais - bitcoins, blockchain, log et login.. ; elles sont deux et se relaient mais il y a parfois des bugs.
Le cyber-Sherlock Holmes français, lui, est reparti à La Haye dès mardi soir. En l'espace de 4 ans, il est devenu selon plusieurs spécialistes de ce genre de dossiers, l'un des experts mondiaux du blanchiment de l'argent de la cybercriminalité organisée.