Opération Bayonet : Comment le FBI a démantelé AlphaBay et Hansa
Table des matières
En juillet 2017, les forces de l'ordre ont mené l'une des opérations d'infiltration les plus sophistiquées de l'histoire de la cybercriminalité. Pendant que les 400 000 utilisateurs d'AlphaBay se faisaient exclure du plus grand marché du dark web jamais construit, la police néerlandaise dirigeait secrètement son remplaçant, Hansa, récoltant des données criminelles pendant des semaines avant de le fermer également. Voici comment l'opération Bayonet a fonctionné, pourquoi elle a réussi là où d'autres ont échoué, et ce qu'il est advenu de l'économie du dark web par la suite.
AlphaBay à lui seul comptait plus de 250 000 annonces de drogues, 100 000 annonces d'identités volées et de logiciels malveillants, et traitait entre $600 000 et $800 000 transactions chaque jour à son apogée., soit environ dix fois la taille de Silk Road, saisie en 2013. Les estimations suggèrent que cette place de marché a facilité des échanges d'une valeur de 1 milliard de dollars en bitcoins et autres cryptomonnaies. De même, au moment du démantèlement, Hansa était la troisième plus grande place de marché du dark web, le piège parfait pour que les équipes mondiales chargées de l'application de la loi attirent les cybercriminels et ripostent.
Mais il y avait des failles dans la sécurité opérationnelle de ces places de marché.
Deux volets pour deux fermetures du darknet
Aujourd'hui encore, il reste un exemple éclatant de l'un des efforts les plus élaborés et les plus coopératifs des organismes internationaux chargés de l'application de la loi pour lutter contre la cybercriminalité. En juillet 2017, les marchés AlphaBay et Hansa ont été fermés avec succès.
Cependant, seul AlphaBay a été mis hors ligne, ce qui amène à se demander ce qui s'est passé exactement sur le marché AlphaBay.
Premier volet : démanteler AlphaBay, le plus grand marché du darknet
AlphaBay est une place de marché darknet de pointe qui facilite les transactions illégales depuis 2014. Il s'agissait d'un héritier beaucoup plus important que la plateforme pionnière du darknet, Silk Road, qui avait elle-même été fermée en 2013.
Le 5 juillet 2017, la police royale thaïlandaise a arrêté un citoyen canadien, Alexandre Cazes à Bangkok, en Thaïlande. Il était le fondateur et l'administrateur présumé du site, utilisant le nom de code "Alpha02" dans les communications.
Les autorités thaïlandaises ont saisi les serveurs hébergeant AlphaBay et coupé l'accès aux utilisateurs, mais n'ont pas annoncé publiquement la fermeture ou la prise de contrôle de la plateforme. Les rumeurs que cela a suscitées parmi les acteurs malveillants sur les forums du dark web allaient de problèmes techniques à des escroqueries de sortie dans lesquelles les administrateurs de la place de marché du dark web fermaient la plateforme et volaient l'argent des utilisateurs.
Quoi qu'il soit arrivé à AlphaBay, les affaires ont continué comme si de rien n'était pour ses utilisateurs, qui se sont rapidement tournés vers d'autres places de marché. Hansa étant l'une des dernières plateformes réputées et populaires du dark web, les utilisateurs et les vendeurs ont afflué vers elle, ce qui a eu pour effet de multiplier par huit le nombre d'utilisateurs.
Deuxième volet : préparer le pot de miel idéal pour les cybercriminels
Après plusieurs années d'enquête et de recherche, le Centre européen de lutte contre la cybercriminalité d'Europol a découvert en 2016 une piste concernant l'infrastructure dorsale de Hansa.
Il s'agissait d'une mission secrète d'Europol, avec partage de renseignements entre la police nationale néerlandaise, puis avec les autorités américaines. Alors que les autorités américaines et thaïlandaises travaillaient ensemble pour fermer AlphaBay, Europol et la police néerlandaise avaient secrètement infiltré et pris le contrôle de l'infrastructure de Hansa.
Pendant les semaines où la police néerlandaise a exploité secrètement Hansa, elle a collecté les véritables adresses IP des vendeurs, réinitialisé les paramètres de sécurité pour exposer les lieux des acheteurs et transmis 10 000 adresses de livraison internationales à Europol. Il s'agissait d'une opération d'intelligence délibérément conçue, pas seulement d'un démantèlement. Cela a essentiellement conduit à la création d'un "honey pot" dans la période qui a suivi la fermeture d'AlphaBay.
Grâce à cet accès, la police a modifié le code de la plateforme pour collecter des données auprès de vendeurs et d'acheteurs de produits contrefaits tels que des médicaments, des produits chimiques toxiques, des armes à feu, des logiciels malveillants et d'autres activités frauduleuses. Des données telles que les adresses électroniques, les mots de passe, les clés PGP, l'historique, les messages et bien d'autres encore ont été suivies. Cela a permis d'ouvrir d'immenses réservoirs de données et de donner aux équipes mondiales chargées de l'application de la loi des informations sur des milliers de cybercriminels.
Julian King, le commissaire européen chargé de l'Union de la sécurité, a déclaré à propos de cette affaire : "...Ce dernier succès démontre non seulement la menace croissante posée par des entreprises criminelles de plus en plus sophistiquées qui exploitent l'espace largement non réglementé occupé par l'internet, mais aussi le rôle vital de la coopération internationale."
Pour l'instant, il semble que les forces de l'ordre s'occupent de tout sans problème.
Qui sont les maîtres d'œuvre de ces places de marché sur le web ?
Alexandre Cazes a été découvert à Bangkok grâce à une piste que les autorités ont trouvée dans l'e-mail de bienvenue de sa propre place de marché. Il s'agissait d'un courriel de bienvenue qu'AlphaBay envoyait à ses nouveaux utilisateurs et vendeurs et dont l'en-tête contenait une adresse hotmail. Ce courriel était lié aux comptes LinkedIn et MySpace de Cazes.
Selon le Agent spécial du FBI Chris Thomas, la chute de ces cybercriminels a été causée par leur orgueil.Ils savaient que les forces de l'ordre surveillaient leurs activités, mais ils se sentaient tellement protégés par la technologie du dark web qu'ils pensaient pouvoir s'en tirer en toute impunité."
Après l'arrestation, dans l'attente de l'extradition vers les États-Unis, Cazes apparemment est décédé par suicide alors qu'il était détenu en Thaïlande. Plus tard dans le mois, le bureau du procureur des États-Unis en Californie a déposé une plainte pour confiscation civile des biens de grande valeur de Cazes et de son épouse situés dans le monde entier, notamment plusieurs véhicules de luxe, des résidences et un hôtel en Thaïlande, ainsi que des millions de crypto-monnaies. Ces biens ont été saisis par le FBI et la Drug Enforcement Administration.
Après la fermeture de Hansa, une enquête de suivi menée par la police néerlandaise a conduit à l'arrestation de deux de ses administrateurs, citoyens allemands, ainsi qu'à la saisie de leurs serveurs situés aux Pays-Bas, en Allemagne et en Lituanie. L'identité des administrateurs n'a pas été révélée. La police nationale néerlandaise, Europol, le FBI et la DEA américaine ont participé à l'opération coordonnée de démantèlement de Hansa.
Que s'est-il passé après ces énormes opérations de démantèlement sur le web sombre ?
Malgré ces démantèlements, l'impact et les conséquences des crimes qu'il a facilités se font encore sentir aujourd'hui.
L'un des principaux effets a été la mortalité liée à la drogue. À l'apogée de son règne, AlphaBay comptait plus de 250 000 inscriptions pour les drogues illégales et les produits chimiques toxiques.
Selon les plaintes déposées auprès du district de Caroline du Sud, une enquête sur un décès par overdose impliquant un opioïde synthétique a révélé que les médicaments avaient été achetés sur AlphaBay. Une autre plainte déposée en Floride indique que le fentanyl à l'origine d'un autre décès par overdose a également été acheté sur la plateforme. Les multiples décès par overdose survenus aux États-Unis sont tous liés aux services et biens malveillants et illégaux vendus sur AlphaBay et d'autres plateformes similaires.
Cependant, comme nous l'avons vu avec la migration massive vers Hansa, la cybercriminalité ne se limite pas à des places de marché spécifiques du dark web. Selon un document de recherche publié en 2023 par le Institut de la cybersécurité pour la sociétéLes données de l'enquête sur les marchés financiers montrent qu'après la fermeture d'un marché, les utilisateurs du dark web se tournent vers d'autres marchés réputés dès que possible.
Le vide créé par AlphaBay et Hansa a été comblé en 2018 par Empire Market. Il a ensuite été supprimé en 2020. Il a été suivi par la saisie de Genesis Market en avril 2023. Viennent ensuite les suppressions et renouvellements répétés de BreachForum, un autre forum du dark web. Lire notre blog "Principaux acteurs de la menace sur le Dark Web - Récapitulatif 2023"pour en savoir plus sur les nouveaux acteurs.
AlphaBay 2.0
Bien que le créateur et administrateur d'AlphaBay ait été arrêté, son second, connu sous le nom de "DeSnake", était toujours actif.
Au début du mois d'août 2021, un utilisateur identifié par des sources indépendantes sous le nom de "DeSnake" a lancé AlphaBay 2.0 en publiant un message sur le forum du darknet "La hantise." Ils ont posté que, "Je veux dédier ceci à Alpha02 avant tout, nous nous sommes promis d'aller jusqu'au bout, et je respecte ma part du contrat."
Le nouveau AlphaBay a été remplie de plusieurs nouvelles politiques telles que des restrictions strictes sur la vente de vaccins Covid-19, de fentanyl, d'armes à feu, etc. DeSnake a également lancé une toute nouvelle fonctionnalité visant à contourner les infiltrations d'infrastructures secrètes. Afin d'éviter ce qui s'est passé avec Hansa, cette fonction a été baptisée AlphaGuard.
AlphaGuard est une technologie qui permet aux utilisateurs de retirer des fonds et au serveur hébergeant le marché de s'autodétruire en cas de changements inattendus sur l'un ou l'ensemble des serveurs. Seules les personnes disposant d'un accès administratif, comme DeSnake, avaient la possibilité de le désactiver en saisissant une clé dans les 72 heures.
AlphaBay 2.0 a fonctionné sous DeSnake jusqu'en février 2023, date à laquelle il a été mis hors ligne sans explication. Contrairement à l'arrêt original, aucune action des forces de l'ordre n'a été revendiquée publiquement – laissant en suspens la question de savoir s'il s'agissait d'une arnaque à la sortie, d'une défaillance technique, ou de quelque chose de plus délibéré.”
Conclusion
L'opération Bayonet reste l'exemple le plus clair de la manière dont les forces de l'ordre peuvent transformer une opération de démantèlement en une opération de renseignement — en utilisant un marché criminel pour surveiller les utilisateurs qui fuient vers un autre. Pour les équipes de sécurité, la leçon est la même qu'en 2026 : l'activité du dark web ne disparaît pas lorsqu'un marché ferme. Elle migre. CybelAngel surveille cette migration en continu, en suivant les déplacements des acteurs malveillants et ce qu'ils emportent avec eux.
