L’administrateur d’Incognito Market avait viré des cryptos « anonymisés » sur son compte perso
Cryptos (not) Incognito
Le fondateur de l' « une des plus grandes » places de marché du dark web, dédiée au commerce de produits stupéfiants, serait un Taïwanais de 23 ans. Étudiant en sécurité informatique passionné par les cryptoactifs, il n'en avait pas moins cumulé plusieurs erreurs d'OPSEC.
Le 28 mai à 12h01
16 min
Sécurité
Sécurité
Le département de la Justice des États-Unis a annoncé l'arrestation d'un Taïwanais de 23 ans, qu'il accuse d'être l'administrateur d'Incognito Market. Lancée en octobre 2020, elle était devenue l'« une des plus grandes » places de marché du dark web, dédiée au commerce de produits stupéfiants.
Rui-Siang Lin, un ex-étudiant en sécurité informatique passionné par les cryptos – et également connu sous les noms de Ruisiang Lin, 林睿庠, Pharoah et faro – a en effet été arrêté à l'aéroport John F. Kennedy de New York le 18 mai. Le communiqué ne précise cependant pas pourquoi le Taïwanais s'est rendu aux États-Unis.
Incognito Market s'était récemment illustré, en mars dernier, à la suite d'un « exit scam » (ou « escroqueries à la sortie », du nom donné aux places de marché qui « partent avec la caisse » en dérobant les cryptoactifs déposés par leurs clients et utilisateurs), suivie d'une tentative d'extorsion.
Non content d'avoir volé ses dealers et/ou acheteurs de drogues, l'administrateur d'Incognito Market les sommait de lui payer une rançon, sous peine de faire fuiter leurs données auprès des autorités :
« Nous avons une dernière petite surprise pour vous tous. Nous avons accumulé une liste de messages privés, d'informations sur les transactions et de détails sur les commandes au fil des ans. »
Se disant « surpris du nombre de personnes qui se sont fiées à notre fonctionnalité de "chiffrement automatique" », Pharoah précise que les « messages et identifiants de transaction n'ont jamais été supprimés après la période d'"expiration"… SURPRISE SURPRISE !!! »
Il menaçait dans la foulée de faire « fuiter auprès des forces de l'ordre » l'intégralité des 557 000 commandes et 862 000 identifiants de transactions de crypto-monnaies à la fin du mois de mai : « Le fait que vos informations et celles de vos clients figurent sur cette liste ne dépend que de vous », précise le message : « Et oui, il s'agit d'une extorsion !!!! ».
« L'avidité de l'accusé et son mépris pour les autres ont encore été démontrés par sa tentative présumée d'extorsion au cours des derniers jours de la plateforme », a déclaré l'agent spécial Ivan J. Arvelo de l'équipe de Homeland Security Investigations (HSI) de New York.
Pharoah aurait perçu plusieurs millions de dollars de commissions
Le communiqué précise qu'Incognito Market aurait permis la commercialisation de plus de 1 000 kilos de stupéfiants, dont « au moins 364 kilogrammes de cocaïne, 295 kilogrammes de méthamphétamine et 92 kilogrammes de MDMA », pour « environ 80 000 000 $ en crypto-monnaies » :
« Incognito Market vendait des stupéfiants illégaux et des médicaments sur ordonnance mal étiquetés, notamment de l'héroïne, de la cocaïne, du LSD, de la MDMA, de l'oxycodone, des méthamphétamines, de la kétamine et de l'alprazolam. »
Pour faciliter les transactions, Incognito Market classait les stupéfiants par catégories : anxiolytiques, benzodiazépines, cannabis, cannabinoïdes, opioïdes, psychédéliques, sédatifs, stéroïdes, stimulants, synthétiques, tabac, etc.
La place de marché proposait aussi des médicaments sur ordonnance « annoncés comme authentiques, mais qui ne l'étaient pas », relève le ministère. Un agent de police sous couverture a ainsi acheté sur Incognito Market plusieurs comprimés censés être de l'oxycodone (un antalgique stupéfiant très puissant). Des tests ont révélé qu'il s'agissait en fait de pilules de fentanyl (dont le potentiel analgésique vaut environ 100 fois celui de la morphine et 50 fois celui de l'héroïne pure et de l'oxycodone), responsable de centaines de milliers de morts aux États-Unis ces dernières années.
Sur Incognito Market, les vendeurs devaient payer un droit d'entrée équivalant à 750 dollars, et reverser 5 % de commission sur chaque achat de stupéfiant. Ces recettes permettaient de financer les activités de la place de marché, notamment de payer les salaires de ses employés et la location des serveurs informatiques.
Pour faciliter ces transactions financières, Incognito Market disposait aussi de sa propre « banque », permettant à ses utilisateurs d'y déposer leurs cryptoactifs (Bitcoin ou Monero) sur leurs propres « comptes bancaires ». Ce qui permettait aussi à Incognito Market de prélever automatiquement ses 5 % de commissions sur chaque transaction entre acheteurs et vendeurs.
Incognito Market dénombrait plus de 1 000 vendeurs, plus de 200 000 acheteurs, et « au moins un employé ». Son administrateur aurait personnellement perçu l'équivalent de plusieurs millions de dollars de commissions.
1 312 vendeurs, 255 519 acheteurs, 224 791 transactions
L'acte d'accusation évoque des perquisitions informatiques des serveurs informatiques d'Incognito Market effectuées en août 2022, août 2023 et janvier 2024, mais sans préciser comment les autorités auraient identifié les serveurs. Sa base de données répertoriait, début août 2023, 1 312 vendeurs, dont 756 pouvant livrer aux États-Unis depuis des pays étrangers, 255 519 acheteurs, et 224 791 transactions.
Pour la seule période allant d'octobre 2021 à août 2023, Incognito Market aurait ainsi permis la commercialisation d' « approximativement » 364 kilos de cocaïne pour l'équivalent de 7,8 millions de dollars, 295 kilos de méthamphétamine pour 3,4 millions de dollars, ou encore 108 kilos de kétamine pour 2,9 millions de dollars.
L'analyse des transactions indique qu'Incognito Market enregistrait un peu moins de 2 millions de dollars de transactions par mois en 2022, et jusqu'à 4,5 millions en juillet 2023, et qu'il aurait reçu l'équivalent de 15 millions de dollars en dépôts en 2022, et 65,5 millions en 2023.
Les quatre portefeuilles de cryptos stockés dans le serveur saisi en janvier 2024 comprenaient 1 316 BTC (équivalant à 37 millions de dollars, précise l'acte d'accusation), dont 123,14 (3,35 M$) pour le seul portefeuille de l'administrateur d'Incognito Market.
L'analyse des transactions indique que, depuis son lancement et jusqu'en janvier dernier, Incognito Market aurait généré 83,6 millions de dollars de revenus et rapporté à son administrateur « au moins 4 181 228 $ grâce à sa commission de 5 % ».
Le portefeuille de l'administrateur avait par ailleurs effectué quatre paiements auprès du registrar Namecheap, pour deux noms de domaine faisant la promotion d'Incognito Market, et « approximativement » 20 000 dollars pour un nom de domaine fournissant des mises à jour en temps réel de l'état des marchés et services populaires du darknet.
Or, la transaction avait été faite, en mars 2022, au nom du compte Namecheap de Rui-Siang Lin, depuis un portefeuille crypto qui lui était également rattaché, mais également via 0,000501 BTC (22,09 $) transféré depuis le portefeuille de l'administrateur d'Incognito Market.
Incognito Market avait alimenté le portefeuille de Rui-Siang Lin
L'acte d'accusation rapporte plusieurs autres transferts de cryptoactifs effectués par l'administrateur de la place de marché au profit du portefeuille de Rui-Siang Lin.
Le 26 juillet 2021, l'administrateur d'Incognito Market transférait ainsi 0,04 BTC (équivalant à 1 528 $) sur une plateforme de « swapping » (souvent utilisée pour « blanchir » des BTC notamment en les convertissant en d'autres cryptoactifs, NDLR), qui les convertissait en 6,7681 Monero (XMR), une cryptomonnaie axée sur la vie privée et réputée comme bien moins traçable que le BTC.
Or, 21 minutes plus tard seulement, le portefeuille de Rui-Siang Lin recevait lui-même un virement de 6,7681 XMR. L'acte d'accusation évoque trois autres transferts du même type, les 15, 17 et 31 mai 2022, pour un montant cumulé équivalant à 121 662 dollars.
Monero dispose de fonctionnalités d'obfuscation, pour protéger la vie privée, voire l'anonymat, de ses utilisateurs. Il aurait suffi à Rui-Siang Lin d'attendre quelques jours ou semaines et de fractionner les virements pour ne pas envoyer les mêmes sommes. Mais comme le souligne l'acronyme PEBCAK : « Problem Exists Between Chair And Keyboard ».
Des erreurs d'autant plus surprenantes qu'Incognito Market obligeait ses utilisateurs à déchiffrer des messages chiffrés au moyen de PGP, mais qu'il les testait également via des quizz portant notamment sur leurs connaissances de la sécurité de Monero ou encore des principes de la sécurité opérationnelle (ou OPSEC, pour « OPerations SECurity »), s'étonne Wired.
De plus, et alors que les chiffre d'affaires d'Incognito Market passait de 500 000 dollars par mois au début de l'année 2022 à 1,5 million à la mi-2022, puis 3 millions en 2023, les dépôts en XMR et BTC sur le portefeuille de Rui-Siang Lin avaient, eux aussi, « augmenté de manière similaire » :
« Les dépôts en monero sur le Crypto Account-1 ont augmenté de manière similaire de 2021 (environ 63 154 $ déposés) à 2022 (environ 1 302 946 $ déposés) et 2023 (environ 4 196 408 $ déposés). Les dépôts de bitcoins sur le Crypto Account-1 ont également augmenté de 2021 (environ 1 195 $ déposés) à 2022 (environ 37 784 $ déposés) à 2023 (environ 1 792 096 $ déposés). »
L'acte d'accusation évoque aussi un second portefeuille de cryptoactifs, créé par Rui-Siang Lin fin juillet 2023 et qui, fin novembre, avait reçu l'équivalent de 4,5 millions de dollars de dépôts en cryptos. En novembre 2023, un relevé bancaire indiquait par ailleurs qu'il possédait plus d'un million de dollars sur ses comptes.
Trahi, aussi, par ses requêtes Google
Le CV de Rui-Siang Lin, obtenu en novembre 2023 après que les enquêteurs ont été autorisés à consulter sa boite aux lettres électronique, laisse entendre que ses activités professionnelles ne pouvaient justifier de tels revenus, précise l'acte d'accusation :
« Sur les quatre "expériences professionnelles" énumérées dans le CV de LIN, la première est un "stage", la seconde est "étudiant chercheur", la troisième "cofondateur" d'une obscure société de technologie et la quatrième est employé des "technologies de l'information" pour un bureau du gouvernement étranger. Aucun de ces postes ne suggère que LIN aurait gagné des millions de dollars. »
Sur son compte GitHub, Lin se décrit comme un « ingénieur backend et blockchain, passionné de Monero ». Y figurent environ 35 dépôts de code, dont des logiciels d'exploitation de serveurs de crypto-monnaies et d'applications Web, indiquant que « LIN possède d'importantes connaissances techniques en informatique, y compris les connaissances nécessaires pour administrer » un site comme Incognito Market, ajoute l'acte d'accusation.
L'historique des recherches associées à l'adresse GMail de Rui-Siang Lin révèle par ailleurs que, le 7 mai 2021, il avait recherché « one pixel attack for fooling deep neural networks github » (« attaque de un pixel pour tromper les réseaux neuronaux profonds github ») sur Google, avant d'accéder à un dépôt GitHub associé.
Or, 10 heures plus tard, l'administrateur d'Incognito Market postait un message sur le forum avançant que « One pixel attacks should deem the spammers/DDoSers ML efforts to fail » (« Des attaques d'un pixel devraient faire échouer les efforts des spammeurs/DDoSers en matière de ML »), avec un lien vers le dépôt GitHub précisément consulté plus tôt par Rui-Siang Lin.
L'acte d'accusation recense plusieurs autres corrélations de ce type entre les recherches effectuées par Rui-Siang Lin et les actions de l'administrateur d'Incognito Market. Trente minutes après la mise hors ligne de l'un des serveurs de la place de marché, saisie par le FBI en juillet 2022, Rui-Siang Lin avait ainsi effectué des requêtes sur Google au sujet des messages d'erreur permettant d'identifier les raisons du crash d'un serveur.
Les enquêteurs ont par ailleurs retrouvé dans la boîte aux lettres électroniques de Rui-Siang Lin un diagramme qu'il s'était envoyé à lui-même en mars 2020, alors qu'il n'avait que 19 ans. Les mots-clefs (vendor, listing, PGP key, admin review) et l'architecture correspondent à ceux d'une place de marché.
Les numéros de téléphone, adresses postales et physiques, à Taipei (capitale de Taïwan), enregistrés sur Namecheap, ainsi que les coordonnées associées au portefeuille de cryptoactifs de Rui-Siang Lin, correspondent aux documents qu'il avait transmis aux autorités états-uniennes, en octobre 2023, à l'occasion d'une demande de visa d'entrée aux États-Unis.
S'il est reconnu coupable, Lin encourt « une peine minimale obligatoire de prison à perpétuité pour participation à une entreprise criminelle continue, une peine maximale de prison à perpétuité pour association de malfaiteurs dans le domaine des stupéfiants, une peine maximale de 20 ans de prison pour blanchiment d'argent et une peine maximale de cinq ans de prison pour association de malfaiteurs dans le domaine de la vente de médicaments frelatés et dénaturés ».
« Un acte d'accusation n'est qu'une simple allégation », rappelle le communiqué : « Tous les accusés sont présumés innocents jusqu'à ce que leur culpabilité soit prouvée au-delà de tout doute raisonnable devant un tribunal ».
Lin venait de former des policiers à la cybercriminalité sur les crypto-monnaies
Le hacker éthique et spécialiste de l'OSINT Baptiste Robert a consacré un thread aux traces numériques qui peuvent être reliées aux identifiants de ce passionné de cryptos.
Son profil LinkedIn indique qu'il était étudiant en sécurité informatique à l'université nationale de Taïwan jusqu'en juin 2023, et qu'il avait été recruté en septembre comme spécialiste des technologies de l'information par le ministère des Affaires étrangères de Taïwan.
Le mois dernier, le ministère l'avait ainsi envoyé diriger, à l’Académie de police de l'île de Sainte-Lucie, dans les Caraïbes, une formation de quatre jours consacrée à... la cybercriminalité et aux crypto-monnaies. Un « atelier révolutionnaire » qu'il avait partagé sur LinkedIn et Twitter, où il avait même posté une photo montrant des policiers caribéens agglutinés devant son ordinateur :
« Ce fut une expérience enrichissante de guider 30 agents dévoués à travers les complexités de la cybercriminalité, des crypto-monnaies et du dark web. Nous avons approfondi les principes opérationnels des cryptomonnaies, exploré des cas de cybercriminalité passés pour obtenir des informations pratiques et participé à des discussions de groupe pour améliorer les compétences en matière d’enquête. […] Fier d’avoir contribué à l’amélioration des compétences de lutte contre la cybercriminalité et reconnaissant de la participation enthousiaste de tous les agents. »
|
Dans un communiqué, la police de Sainte-Lucie l'avait d'ailleurs remercié pour avoir « mis à profit son expérience professionnelle et ses qualifications dans le domaine, ainsi que le cours soigneusement conçu, pour offrir aux agents participants une précieuse opportunité d'apprentissage, améliorant ainsi efficacement leur capacité à lutter contre la cybercriminalité ».
Sur Twitter, il avait consacré des threads au sujet de la « saga Silk Road », la pionnière des places de marché du dark web, soulignant que son administrateur avait été condamné à « deux peines de prison à perpétuité, plus 40 ans, sans possibilité de libération conditionnelle ». Ou encore au risque que posait l'informatique quantique à l'identification des utilisateurs de Monero… ce qui ne l'avait pas empêché d'effectuer un transfert, traçable, de Monero entre Incognito Market et son propre portefeuille.
Dans son dernier tweet, posté le 18 mai (jour de son arrestation), il partageait un graphe de la société spécialisée dans la surveillance des transactions illégales en cryptoactifs Chainalysis. Il montrait qu'avec 45,5 millions de revenus en 2023, Incognito Market figurait en 4ᵉ position des places de marché du dark web les plus profitables.
Et dans sa dernière publication sur LinkedIn, la semaine passée, il se disait « suis très heureux de vous annoncer que j'ai obtenu la nouvelle qualification de Chainalysis : Chainalysis Reactor Certification (CRC) ! », la société d'analyse des blockchains et cryptoactifs utilisée par les principales polices occidentales.
Le communiqué du Département de la sécurité intérieure (DHS) précise que l'équipe du Homeland Security Investigations (HSI) de New York, qui a coordonné l'enquête internationale, dirige par ailleurs « toutes les activités opérationnelles et administratives de l'El Dorado Task Force (EDTF) » :
« L'EDTF est la première task force de lutte contre le blanchiment d'argent du pays et se compose de plus de 200 membres des forces de l'ordre représentant environ trente-cinq (35) agences fédérales, étatiques et locales d'application de la loi et de réglementation. [...] La mission de l'EDTF est de perturber, de démanteler ou de rendre inefficaces les organisations impliquées dans le blanchiment des produits du trafic de stupéfiants et d'autres crimes financiers. »
Depuis sa création en 1992, la Task Force El Dorado aurait permis la saisie d'« environ 600 millions de dollars et plus de 2 100 arrestations ». Sachant que le HSI compte « plus de 10 000 employés, répartis dans 235 bureaux aux États-Unis et 93 sites à l'étranger, dans 56 pays ».
Pharoah n'est pas, loin de là, le premier à être identifié suite à une succession d'erreurs en matière d'OPSEC, comme nous l'avons déjà moult fois chroniqué :
-
- Quelles traces relient Dmitry Khoroshev au rançongiciel LockBit ?
- La succession d’erreurs qui a permis au FBI d’identifier l’administrateur de BreachForums
- Le braqueur de Silk Road trahi par son adresse IP
- Le « système de communications clandestines » de la CIA qui a trahi ses espions
- Des centaines d’agents de services de renseignement étaient « à poil » sur Strava, depuis 4 ans
- Comment le FBI a identifié l’auteur franco-vénézuélien de deux rançongiciels
- « Dark web » : l’hébergeur d’Hydra trahi par ses factures
- Le profil du faussaire figurait dans les métadonnées, depuis 2015
- Bitfinex : comment le fisc américain a remonté la piste des blanchisseurs de cryptos
L’administrateur d’Incognito Market avait viré des cryptos « anonymisés » sur son compte perso
-
Pharoah aurait perçu plusieurs millions de dollars de commissions
-
1 312 vendeurs, 255 519 acheteurs, 224 791 transactions
-
Incognito Market avait alimenté le portefeuille de Rui-Siang Lin
-
Trahi, aussi, par ses requêtes Google
-
Lin venait de former des policiers à la cybercriminalité sur les crypto-monnaies
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/05/2024 à 12h59
Pas grave, Trump le fera libérer...
Le 28/05/2024 à 17h20
Le 28/05/2024 à 17h24
Le 28/05/2024 à 13h19
Le 28/05/2024 à 14h53
Big Brother is watching us.
Le 28/05/2024 à 15h00
C'est dommage, tant de talents gâchés par l'appât du gain...
Le 28/05/2024 à 15h35
Épreuve du bac de mathématique d'intelligence quantique artificiel:
« deux peines de prison à perpétuité, plus 40 ans, sans possibilité de libération conditionnelle »
Ça fait combien d'année tout ça? Je vous fais grâce des années bissextiles.
Modifié le 28/05/2024 à 16h21
Dans le cas que vous mentionnez, avec deux peines de prison à perpétuité plus une peine de 40 ans, sans possibilité de libération conditionnelle, voici comment cela se comprend :
1. Deux peines de prison à perpétuité sans possibilité de libération conditionnelle : Cela signifie que la personne doit passer le reste de sa vie en prison, peu importe la durée de vie. La deuxième peine de prison à perpétuité est souvent symbolique, mais elle assure que même si une des condamnations est annulée ou commuée pour une raison quelconque, l'autre reste en vigueur.
2. Une peine de 40 ans sans possibilité de libération conditionnelle : Cette peine est généralement ajoutée de manière consécutive ou concurrente aux peines de prison à perpétuité. Mais dans ce contexte, puisqu'il y a déjà deux peines de prison à perpétuité, cette peine de 40 ans n'aura pas d'impact pratique sur la durée totale d'incarcération de la personne, car elle ne pourra jamais être libérée.
En conclusion, peu importe le nombre d'années calculées de manière additive, la personne restera en prison pour le reste de sa vie en raison des peines de prison à perpétuité sans possibilité de libération conditionnelle. »
--
ChatGPT
Le 28/05/2024 à 16h22
Le 28/05/2024 à 16h42
Le 28/05/2024 à 20h57