« On part dans le roman d’espionnage ! » : au procès du hacker russe Alexander Vinnik

C’était il y a cinq ans, autant dire la préhistoire du ransomware. A l’époque, les opérateurs de ces logiciels malveillants qui chiffrent vos données pour exiger une rançon frappent large. Et ils savent se contenter de peu, une poignée de bitcoins, au cours alors inférieur au millier d’euros. Pour la campagne française du rançongiciel Locky, l’arnaque repose sur une fausse facture Free Mobile envoyée par mail. L’ouverture du fichier lance la réception d’un dropper, puis le téléchargement de la charge virale, et enfin l’installation du programme malveillant. Allez savoir pourquoi, une quarantaine d’agents de caisses d’allocations familiales de Nouvelle-Aquitaine reçoivent le mail de hameçonnage. Deux agents cliquent sur le lien. Le premier, à Carcassonne, comprend tout de suite sa bourde. Il se lève et débranche aussitôt son câble ethernet. Le second, à Limoges, ne capte pas l’embrouille. Et ouvre en grand la porte de la bergerie au loup informatique.

Alors que la plupart des enquêtes judiciaires sur ces rançongiciels finissent par mourir au fond d’un placard, pour Locky, la justice française a réussi à identifier un suspect. Alexander Vinnik, surnommé M. Bitcoin, est un russe de 42 ans. Arrêté en juillet 2017 sur la plage pendant ses vacances en Grèce, demandé également par les Etats-Unis et la Russie, il commence son marathon judiciaire par la France. Il est poursuivi pour son implication dans les extorsions informatiques et le blanchiment des rançons. Ce grand maigre au crâne rasé, vêtu d’un gilet noir Nike, vient d’être rejugé en appel à Paris, après sa condamnation à cinq ans d’emprisonnement et 100 000 euros d’amende à l’automne. Un dossier de criminalité high-tech inédit dans les annales judiciaires françaises, presque anachronique dans le vénérable palais de justice de l’Île de la cité, construit au 13e siècle. Devant les belles boiseries de la salle d’audience, une rallonge électrique, accrochée au bois avec du gros scotch, traîne par terre. Ici, le courant est une denrée rare. Les avocats cherchent désespérément une prise électrique pour recharger leurs téléphones. 

Alexander Vinnik est seul dans le box des prévenus. L’ancien trader à ses heures perdues sur le Forex, le marché aux devises, reste à bien des égards un mystère. On vient seulement d’apprendre qu’il avait été un ancien ingénieur de Lukoi, le plus grand producteur de pétrole russe. Ce fils de biélorusses né dans une petite ville de l’Oural, très pieu - sur sa playlist, des chants de monastères orthodoxes -  avait débuté dans l’informatique en créant des programmes sur son Sinclair ZX Spectrum.

Ce procès aux airs de polar technologique s’est étalé sur deux semaines. Une durée assez importante pour un appel correctionnel. C’est la conséquence d’une défense âpre, active sur tous les fronts. D’abord en contestant les traces numériques qui le relient aux rançons encaissées par Locky. Ensuite en portant une défense de rupture : Alexander Vinnik, simple “guichetier de banque”, serait l’otage d’un conflit géopolitique entre la Russie et les Etats-Unis le dépassant totalement. Enfin en saturant l’audience pour ouvrir la voie à un éventuel recours sur le thème de la violation du droit à un procès équitable. Le portrait des geôles françaises dépeint par la défense fait d’ailleurs passer les camps du Goulag pour des colonies de vacances. Ce qui explique les nombreuses frictions, comme ce jeudi 20 mai, au deuxième jour du procès.

« Ce n’est pas exact, remarque l’un des deux avocats d’Alexander Vinnik, la bouillante Zoé Konstantopoúlou, ancienne présidente du parlement grec sous les couleurs de Syriza.

- Si, c’est la cote…, commence à lui répondre l’avocat général Jérôme Marilly, le représentant de l’accusation au procès.

- Je peux parler?

- Je vous suggère de lire la cote.

- Votre manière n’est pas respectueuse, je n’accepte pas d’être insultée. »

La présidente intervient, fait redescendre la température. Fin, pour cette fois, de l’incident.

Si l’audience est aussi inflammable, c’est parce que la thèse de la défense est explosive. Elle suggère en effet que les éléments qui accablent Alexander Vinnik auraient été fabriqués par les autorités américaines. Une attaque qui s’appuie sur le drôle de cheminement de ces preuves. L’ordinateur et les téléphones d’Alexander Vinnik, saisis en Grèce, ont été transmis aux autorités judiciaires américaines, via l’ambassade, qui ont ensuite envoyé des copies numériques aux Français.

« Tout est possible dans cette ambassade, s’inquiète Me Frédric Belot, l’autre avocat d’Alexander Vinnik.

- Surtout dans cette ambassade, renchérit Zoé Konstantopoúlou, une référence au scandale des écoutes illégales sur le réseau Vodafone, en 2004-2005.

- On part dans le roman d’espionnage, soupire Jérôme Marilly. »

Mais pourquoi donc fabriquer de fausses preuves ? Pour organiser le rapt d’informaticiens russes, comme on l’assure sur l’internet de Vladimir Poutine ? Alexander Vinnik soutient ainsi avoir été kidnappé. Raison pour laquelle il demande 5 millions d’euros de réparations. Ou pour lui faire cracher des aveux forcés sur l’ingérence russe dans l’élection de Donald Trump, comme l’explique Me Belot devant la cour d’appel ? L’avocat s'inquiète même d’un futur détournement vers les Etats-Unis de l’avion qui ramènera son client en Grèce une fois son temps de détention purgé en France. Une mention osée, la semaine où les autorités biélorusses ont contraint à l’atterrissage l’avion de ligne transportant le journaliste Roman Protassevitch.

Ce mardi, il ne reste plus qu’une poignée de jours avant la fin du procès. La mère d’Alexander Vinnik vient d’arriver depuis Moscou. La babouchka, qui élève les deux enfants de l’informaticien, a encore sa grosse parka beige sur les épaules. « Si il y avait plus de gens comme mon fils, le monde serait meilleur, assure la retraitée, des sanglots dans la voix. Il n’a jamais volé un kopek. » D’ailleurs, poursuit-elle, son mode de vie était très simple. « Il portait toujours les mêmes vêtements. Je lui disais, tu n’as pas honte, tu portes encore ce vêtement que je t’ai acheté pour cent roubles ? » Ce n’est évidemment pas à cause de son manque d’entrain pour le shopping qu’Alexander Vinnik a acquis une renommée mondiale. En juillet 2017, la justice américaine a annoncé sa mise en examen. Elle le soupçonne d’avoir blanchi plusieurs milliards de dollars. Soit potentiellement, une peine de plus de 50 ans de prison outre-atlantique au vu des charges. On lui prête même un rôle dans l’incroyable hack de la plateforme d’échange Mt. Gox, qui avait perdu la main en 2014 sur plus de 700000 bitcoins. 

Au cœur de ses déboires, sa participation aux activités de la très mystérieuse plateforme d’échanges de cryptomonnaies BTC-e. Lancé en 2011, ce site va devenir « le trou noir de la finance dématérialisée », signale, dans ses réquisitions, l’avocat général Jérôme Marilly. Sur BTC-e, pas besoin de pièce d’identité pour ouvrir un compte. On y échange, entre utilisateurs, des vouchers, des sortes de coupons. Et bien sûr, ce qui se passe sur la plateforme reste sur la plateforme. Une aubaine pour les trafics illicites en tout genre. Un message sur un forum signé WME, l’un des pseudos d’Alexander Vinnik selon l’accusation, donne le ton en octobre 2011. « Je travaille sur les échanges depuis plus de dix ans, maintenant je commence à travailler avec des bitcoins. Je peux les échanger contre n’importe quoi, je donne la préférence aux espèces à Moscou. »

Les poursuites américaines redonnent de l’espoir aux limiers français lancés à la poursuite des opérateurs de Locky. Car les deux volets de l’enquête française, ouverte un an plus tôt, patinent. Le premier, la piste de l’argent, confiée aux gendarmes, conduit les enquêteurs à une impasse. En étudiant à la main le cheminement des bitcoins de rançon sur la blockchain, ils découvrent une myriade de comptes alimentés pour environ 20000 bitcoins par près de 7000 victimes à travers le monde. Des adresses bitcoins qui aboutissent à trois utilisateurs inscrits sur BTC-e. Où l’argent disparaît sous forme d’échanges internes en vouchers, intraçables contrairement à la crypto-monnaie. « On relance la plateforme pour savoir qui sont ces trois utilisateurs, ils nous répondent qu’ils ont eu un problème technique sur leur base de données et qu’ils ne peuvent pas répondre, rappelle à la barre Patrice R., un gendarme geek. Nous sommes un peu surpris car nous ne voyons pas comment leur service peut continuer s’ils ont perdu leur base de données », ajoute-t-il.

Le second volet de l’enquête, les investigations sur l’infrastructure du rançongiciel Locky, ne donnent pas plus de résultats. Les policiers parisiens de la brigade d'enquêtes sur les fraudes aux technologies de l'information apprennent que deux serveurs de commande et de contrôle de Locky sont localisés en France. « C’est là qu’on s’est rendu compte que c’était très sophistiqué », se souvient le commandant de police Aurélien D., vêtu pour son audition avec soin - écharpe et cravate à rayures blanches et bleu marine sur chemise blanche. Les serveurs, des sites compromis, comme cette auto-école mal sécurisée, ont une durée de vie très courte. Bien souvent, ils ne sont qu’une passerelle visant à empêcher la découverte du serveur final. Et dès que les opérateurs de Locky ont l’impression d’avoir laissé une trace, ils font tomber leur infrastructure. Ce qui veut dire qu’il faut reprendre à zéro la traque. « C’était l’un des premiers ransomware-as-a-service, note Aurélien D. Sa particularité, c’était qu’il s’agissait d’un petit groupe avec un seul donneur d’ordre, une seule infrastructure de paiement. Mais nous n’avons jamais réussi à saisir le panel de contrôle, ni à identifier Alexander Vinnik. »

Un aveu qui explique, quelques jours plus tard, l’abandon en rase campagne par le parquet de toutes les poursuites relatives au rançongiciel lui-même. Alexander Vinnik ? « Ce n’est pas le concepteur de Locky et il n’a en aucun cas diffusé ce logiciel ou aidé à sa diffusion », admet l’avocat général Jérôme Marilly. Qui demande toutefois sa condamnation à cinq ans d’emprisonnement pour son rôle dans le blanchiment des rançons. Soit la simple validation du jugement de première instance, qui avait déjà relaxé Alexander Vinnik sur les poursuites liées directement au rançongiciel. Et la confirmation donc que, faute de preuves formelles, l’enquête a taillé un costume trop large au russe. M. Bitcoin avait lui-même déjà bien senti ce retournement. Quelques jours auparavant, la voix rocailleuse, le russe avait demandé à ses avocats d’abréger leurs laïus sur ce volet de l’affaire. « Tout le monde sait que ce n’est pas moi. Il n’y a rien qui relie à moi. On peut passer à des choses plus intéressantes ? »

Reste que cette histoire de blanchiment est un gros boulet pour Alexander Vinnik. Al Capone est bien tombé pour une histoire de fraude fiscale. Ses explications comme quoi qu’il n’était qu’un simple opérateur de BTC-e ignorant tout des origines frauduleuses des fonds n’ont pas vraiment convaincu. Les fondateurs de BTC-e avaient bien tenté de brouiller les pistes avec un site enregistré en Bulgarie, régi par la loi chypriote, et une société basée aux Seychelles. Mais ils avaient oublié un détail. Quand on décide de blanchir des milliards de dollars, on n’héberge pas ses serveurs en Californie. Le FBI a ainsi pu mettre la main sur la base de données de la plateforme, transmise aux enquêteurs français. Qui identifient, comme leurs homologues américains, un certain compte Vamnedam destinataire des trois-quart des rançons. « L’erreur, cela a été de croire que jamais aucun service de police ne pourrait avoir la base de données et analyser son fonctionnement, avait ainsi analysé le commandant de police Aurélien D. Sinon, effectivement, on n’aurait jamais pu identifié personne. »

Encore faut-il démontrer que c’est Alexander Vinnik qui gère le compte Vamnedam. Ses traces numériques sont donc regardées de près. Les enquêteurs découvrent par exemple que des adresses IP de connexion identiques à d’autres comptes de la plateforme BTC-e. En fouinant dans les comptes Gmail aux pseudos énigmatiques (WME, Grmbit ou Petr) rattachés à ces comptes, ils tombent sur une copie du passeport d’Alexander Vinnik et des messages adressés nommément au russe. Les carottes sont presque cuites. Elles le seront avec l’analyse d’un des téléphones d’Alexander Vinnik. Sur lequel était justement configuré le compte Gmail maître, WME. Autant d’éléments qui plombent Alexander Vinnik. Pour sa défense, le russe assure que les opérateurs de BTC-e utilisaient un réseau privé virtuel, à l’origine des adresses IP communes. Et que les sessions des différents ordinateurs étaient synchronisées, ce qui expliquerait les documents compromettants retrouvés sur le MacBook Pro. Une dernière machine dont l’analyse n’a pu être que partielle. Seule une des quatre machines virtuelles de l’ordinateur a pu être analysée. Les trois autres, protégées par des mots de passe, sont restées muettes. Comme un rappel que l’affaire Alexander Vinnik conserve toujours bien des mystères.

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.
VICE Belgique est sur Instagram et Facebook.