L'impact des démantèlements des places de marché du Dark Web [AlphaBay et Hansa]

Près de sept ans se sont écoulés depuis le démantèlement de la plus grande place de marché du dark web de l'époque, AlphaBay, et de son successeur Hansa. Aujourd'hui encore, des questions subsistent sur la succession des modérateurs et sur ce que les cybercriminels ont fait ensuite.

Mais tout d'abord, rappelons ce qui s'est exactement passé.

En 2017, la police nationale néerlandaise, Europol et le FBI ont coordonné leurs efforts, sous le nom de code "Opération Bayonet", pour fermer les deux marchés du dark web qui, ensemble, négociaient plus de 350 000 produits illicites, allant des opioïdes aux ransomwares, en passant par le blanchiment d'argent. Cette opération a été reconnue comme l'une des plus sophistiquées de lutte contre la cybercriminalité. 

AlphaBay accessible via le réseau TOR, comptait plus de 40 000 vendeurs à son apogée, et plus de 250 000 listes de drogues et autres produits chimiques, ainsi que plus de 100 000 listes d'identités volées, de cartes de crédit, de produits contrefaits, de logiciels malveillants et d'armes à feu, entre autres. Selon les estimations, cette place de marché a facilité des transactions d'une valeur d'un milliard de dollars en bitcoins et autres crypto-monnaies. De même, au moment de son démantèlement, Hansa était la troisième plus grande place de marché du dark web, le point de chute idéal pour les équipes mondiales chargées de l'application de la loi afin d'attirer les cybercriminels et de riposter.

Mais il y avait des failles dans la sécurité opérationnelle de ces places de marché.

Deux volets pour deux fermetures du darknet

Image publiée par le FBI à la suite de la fermeture d'AlphaBay et de Hansa. Source : FBI.gov

Aujourd'hui encore, il reste un exemple éclatant de l'un des efforts les plus élaborés et les plus coopératifs des organismes internationaux chargés de l'application de la loi pour lutter contre la cybercriminalité. En juillet 2017, les marchés AlphaBay et Hansa ont été fermés avec succès.

Cependant, seul AlphaBay a été mis hors ligne, ce qui amène à se demander ce qui s'est passé exactement sur le marché AlphaBay. 

Premier volet : démanteler AlphaBay, le plus grand marché du darknet

AlphaBay est une place de marché darknet de pointe qui facilite les transactions illégales depuis 2014. Il s'agissait d'un héritier beaucoup plus important que la plateforme pionnière du darknet, Silk Road, qui avait elle-même été fermée en 2013.

Un coup d'œil sur le marché AlphaBay et les catégories listées pour les utilisateurs, y compris la fraude, les médicaments et les produits chimiques, les logiciels et les logiciels malveillants.

Le 5 juillet 2017, la police royale thaïlandaise a arrêté un citoyen canadien, Alexandre Cazes à Bangkok, en Thaïlande. Il était le fondateur et l'administrateur présumé du site, utilisant le nom de code "Alpha02" dans les communications.

Les autorités thaïlandaises ont saisi les serveurs hébergeant AlphaBay et coupé l'accès aux utilisateurs, mais n'ont pas annoncé publiquement la fermeture ou la prise de contrôle de la plateforme. Les rumeurs que cela a suscitées parmi les acteurs malveillants sur les forums du dark web allaient de problèmes techniques à des escroqueries de sortie dans lesquelles les administrateurs de la place de marché du dark web fermaient la plateforme et volaient l'argent des utilisateurs. 

Quoi qu'il soit arrivé à AlphaBay, les affaires ont continué comme si de rien n'était pour ses utilisateurs, qui se sont rapidement tournés vers d'autres places de marché. Hansa étant l'une des dernières plateformes réputées et populaires du dark web, les utilisateurs et les vendeurs ont afflué vers elle, ce qui a eu pour effet de multiplier par huit le nombre d'utilisateurs. 

Deuxième volet : préparer le pot de miel idéal pour les cybercriminels

Après plusieurs années d'enquête et de recherche, le Centre européen de lutte contre la cybercriminalité d'Europol a découvert en 2016 une piste concernant l'infrastructure dorsale de Hansa.

Il s'agissait d'une mission d'infiltration d'Europol, avec partage d'informations entre la police nationale néerlandaise et, plus tard, les autorités américaines. Alors que les autorités américaines et thaïlandaises travaillaient ensemble pour fermer AlphaBay, Europol et la police néerlandaise avaient secrètement infiltré et pris le contrôle de l'infrastructure de Hansa. Cela a conduit à la création d'un pot de miel après la fermeture d'AlphaBay.

Grâce à cet accès, la police a modifié le code de la plateforme pour collecter des données auprès de vendeurs et d'acheteurs de produits contrefaits tels que des médicaments, des produits chimiques toxiques, des armes à feu, des logiciels malveillants et d'autres activités frauduleuses. Des données telles que les adresses électroniques, les mots de passe, les clés PGP, l'historique, les messages et bien d'autres encore ont été suivies. Cela a permis d'ouvrir d'immenses réservoirs de données et de donner aux équipes mondiales chargées de l'application de la loi des informations sur des milliers de cybercriminels. 

Julian King, le commissaire européen chargé de l'Union de la sécurité, a déclaré à propos de cette affaire : "...Ce dernier succès démontre non seulement la menace croissante posée par des entreprises criminelles de plus en plus sophistiquées qui exploitent l'espace largement non réglementé occupé par l'internet, mais aussi le rôle vital de la coopération internationale."

Pour l'instant, il semble que les forces de l'ordre s'occupent de tout sans problème.

Qui sont les maîtres d'œuvre de ces places de marché sur le web ?

Alexandre Cazes a été découvert à Bangkok grâce à une piste que les autorités ont trouvée dans l'e-mail de bienvenue de sa propre place de marché. Il s'agissait d'un courriel de bienvenue qu'AlphaBay envoyait à ses nouveaux utilisateurs et vendeurs et dont l'en-tête contenait une adresse hotmail. Ce courriel était lié aux comptes LinkedIn et MySpace de Cazes.

Alphabay en chiffres. Source : Le FBI.

Selon le Agent spécial du FBI Chris Thomas, la chute de ces cybercriminels a été causée par leur orgueil.Ils savaient que les forces de l'ordre surveillaient leurs activités, mais ils se sentaient tellement protégés par la technologie du dark web qu'ils pensaient pouvoir s'en tirer en toute impunité."

Après l'arrestation, dans l'attente de l'extradition vers les États-Unis, Cazes apparemment est décédé par suicide alors qu'il était détenu en Thaïlande. Plus tard dans le mois, le bureau du procureur des États-Unis en Californie a déposé une plainte pour confiscation civile des biens de grande valeur de Cazes et de son épouse situés dans le monde entier, notamment plusieurs véhicules de luxe, des résidences et un hôtel en Thaïlande, ainsi que des millions de crypto-monnaies. Ces biens ont été saisis par le FBI et la Drug Enforcement Administration. 

Après la fermeture de Hansa, une enquête de suivi menée par la police néerlandaise a conduit à l'arrestation de deux de ses administrateurs, citoyens allemands, ainsi qu'à la saisie de leurs serveurs situés aux Pays-Bas, en Allemagne et en Lituanie. L'identité des administrateurs n'a pas été révélée. La police nationale néerlandaise, Europol, le FBI et la DEA américaine ont participé à l'opération coordonnée de démantèlement de Hansa.

Que s'est-il passé après ces énormes opérations de démantèlement sur le web sombre ?

Malgré ces démantèlements, l'impact et les conséquences des crimes qu'il a facilités se font encore sentir aujourd'hui.

L'un des principaux effets a été la mortalité liée à la drogue. À l'apogée de son règne, AlphaBay comptait plus de 250 000 inscriptions pour les drogues illégales et les produits chimiques toxiques.

Selon les plaintes déposées auprès du district de Caroline du Sud, une enquête sur un décès par overdose impliquant un opioïde synthétique a révélé que les médicaments avaient été achetés sur AlphaBay. Une autre plainte déposée en Floride indique que le fentanyl à l'origine d'un autre décès par overdose a également été acheté sur la plateforme. Les multiples décès par overdose survenus aux États-Unis sont tous liés aux services et biens malveillants et illégaux vendus sur AlphaBay et d'autres plateformes similaires. 

Cependant, comme nous l'avons vu avec la migration massive vers Hansa, la cybercriminalité ne se limite pas à des places de marché spécifiques du dark web. Selon un document de recherche publié en 2023 par le Institut de la cybersécurité pour la sociétéLes données de l'enquête sur les marchés financiers montrent qu'après la fermeture d'un marché, les utilisateurs du dark web se tournent vers d'autres marchés réputés dès que possible.

Le vide créé par AlphaBay et Hansa a été comblé en 2018 par Empire Market. Il a ensuite été supprimé en 2020. Il a été suivi par la saisie de Genesis Market en avril 2023. Viennent ensuite les suppressions et renouvellements répétés de BreachForum, un autre forum du dark web. Lire notre blog "Principaux acteurs de la menace sur le Dark Web - Récapitulatif 2023"pour en savoir plus sur les nouveaux acteurs.

AlphaBay 2.0 

Bien que le créateur et administrateur d'AlphaBay ait été arrêté, son second, connu sous le nom de "DeSnake", était toujours actif.

Au début du mois d'août 2021, un utilisateur identifié par des sources indépendantes sous le nom de "DeSnake" a lancé AlphaBay 2.0 en publiant un message sur le forum du darknet "La hantise." Ils ont posté que, "Je veux dédier ceci à Alpha02 avant tout, nous nous sommes promis d'aller jusqu'au bout, et je respecte ma part du contrat."

Le nouveau AlphaBay a été remplie de plusieurs nouvelles politiques telles que des restrictions strictes sur la vente de vaccins Covid-19, de fentanyl, d'armes à feu, etc. DeSnake a également lancé une toute nouvelle fonctionnalité visant à contourner les infiltrations d'infrastructures secrètes. Afin d'éviter ce qui s'est passé avec Hansa, cette fonction a été baptisée AlphaGuard.

AlphaGuard est une technologie qui permet aux utilisateurs de retirer des fonds et au serveur hébergeant le marché de s'autodétruire en cas de changements inattendus sur l'un ou l'ensemble des serveurs. Seules les personnes disposant d'un accès administratif, comme DeSnake, avaient la possibilité de le désactiver en saisissant une clé dans les 72 heures. 

Selon plusieurs sources AlphaBay 2.0 a été fermé en 2023 suite au déploiement d'AlphaGuard. L'administrateur, DeSnake, pour des raisons inconnues, n'a pas pu se retirer à temps, ce qui a conduit à la fin d'AlphaBay 2.0. DeSnake n'a pas été vu actif depuis lors.

Conclusion

Voici un petit récapitulatif des points forts et des points faibles de cette histoire jusqu'à présent :

  • Opérations coordonnées par les services répressifs (notamment le FBI, la police nationale néerlandaise et Europol) a conduit à la fermeture d'AlphaBay et de Hansa en 2017. Il s'agissait d'importantes places de marché du dark web pour les marchandises illégales, les activités cybercriminelles et les échanges de logiciels malveillants.
  • Démantèlement post-AlphaBayDes utilisateurs peu méfiants ont migré vers Hansa, sans savoir qu'il était contrôlé par les forces de l'ordre. Cela a permis d'obtenir de nombreuses données criminelles et de faciliter d'autres arrestations.
  • Malgré ces démantèlementsL'activité du dark web a persisté alors que les utilisateurs se sont déplacés vers d'autres plateformes. Cela est dû en partie à la résilience des places de marché clandestines.
  • DeSnakeEn 2008, un membre important d'AlphaBay a tenté de ressusciter cette place de marché sous le nom d'"AlphaBay 2.0", avec des mesures de sécurité renforcées. Cependant, la plateforme a été mystérieusement fermée en 2023, ce qui souligne encore davantage la bataille en cours contre les places de marché du dark web.

Si vous avez aimé ce blog, suivez nos réseaux sociaux ; LinkedIn, Twitter/Xet Facebookpour bénéficier chaque semaine d'un contenu et d'une analyse inédits.