Un site russe héberge des images pédopornographiques en toute impunité

Le 30 décembre 2017, le chercheur en sécurité et “hacker éthique” néerlandais Sijmen Ruwhof relatait dans un long post de blog une histoire à la fois triste et répugnante, qui en dit long sur les mécanismes de diffusion de contenu illicite en ligne mais aussi sur la difficulté, pour les organismes chargés de lutter contre, de faire respecter des lois nationales et européennes dans un espace virtuel transfrontalier. Sur les conseils d’un ami, également chercheur en sécurité informatique, qui tentait de comprendre comment Google Images pouvait recenser autant de photos d’enfants suggestives, Ruwhof a découvert une gigantesque plateforme d’échange de photos d’enfants accompagnées de commentaires lubriques de milliers d’utilisateurs, planquée derrière un camouflage de site d’échanges d’images banal.

La plateforme en question s’appelle imgsrc.ru. À la question de savoir si nous devions publier cette URL, nous avons fini par trancher : vous êtes assez responsables pour comprendre que la visite de ce site peut vous attirer de gros problèmes au regard de l’article 227-23 du Code pénal, modifié en 2013, qui prévoit que la consultation d’un site hébergeant des images pédopornographiques est punie de deux ans d’emprisonnement et de 30 000 euros d’amende. Dans le cas de imgsrc.ru, cependant, la situation est un peu plus compliquée, et c’est en partie ce qui explique que le site soit toujours en ligne. Nous vous conseillons quand même de ne pas le visiter, pour des raisons à la fois morales et pratiques – premièrement, c’est dégueulasse, deuxièmement, c’est farci de malwares.

Après avoir découvert l’existence de la banque d’images, Ruwhof a tenté d’en savoir un peu plus sur sa structure et son importance sur le réseau. Des outils d’analyse de trafic comme Alexa ou Similarweb lui attribuent des statistiques vertigineuses : à les croire, imgsrc.ru n’est pas qu’une obscure banque d’images planquée sous les radars de Google, c’est un Léviathan qui totalise 21 millions de visiteurs uniques mensuels, ce qui le place au 855e rang des sites les plus consultés au monde. Presque 20% de ses visiteurs seraient américains, et la majorité d’entre eux semblent accéder au site sans passer par les moteurs de recherche, ce qui explique peut-être qu’il n’apparaisse presque jamais sur Google lorsque l’on recherche des sites d’échanges d’images comme Flickr ou Picasa. Ou peut-être est-ce parce que imgsrc.ru n’est pas tout à fait comme ses semblables : Similarweb affirme que près d’un quart du trafic se concentre sur du contenu labellisé “adulte”. Le nuage de tags associé aux recherches du site fait apparaître les termes “porn”, “nude”, “boy”, “gay”, “sex” ou “nudist”.

Peu de place pour l'ambiguïté, donc : selon toute vraisemblance, on visite imgsrc.ru pour du contenu pornographique, pas pour trouver un nouveau fond d’écran. Mais la meilleure autopsie du site est celle pratiquée par Ruwhof, qui a développé un script pour analyser toutes les images hébergées sur la plateforme. Grâce à son outil, il a découvert que 57 des 65 catégories de photos proposées sur la page d’accueil du site proposaient des contenus parfaitement triviaux. À l’époque de l’analyse, elles totalisaient 1 612 042 photos.

Les huit catégories restantes sont “remplies de photos de mineurs” selon Ruwhof et hébergent 4 361 962 photos. En d’autres termes, 73% du contenu du site, soit plus de quatre millions d’images, peut être considéré comme “orienté pédopornographie”. Et le chercheur est allé plus loin : en analysant les données de chaque album, il est parvenu à déterminer que les mineurs les plus représentés étaient décrits comme ayant entre 13 et 16 ans. Sur sa page d’accueil, imgsrc.ru revendique une communauté “en croissance rapide” de plus d’un million d’utilisateurs.

Lorsque l’on visite les catégories identifiées par le chercheur, pas vraiment planquées (“kids”, qui regroupe selon Ruwhof 40% du contenu pédopornographique, mais aussi “nudity”, “paparazzi”, “portraits”, etc) voilà ce que l’on trouve : des photos et gifs d’enfants, de pré-adolescents et d’adolescents, généralement récupérées via des pages de réseaux sociaux, Facebook et Instagram en tête, mais aussi prises à la dérobée dans des lieux publics. Prises séparément, la majorité des photos en question sont parfaitement anodines : les mineurs photographiés sont à la plage, en train de faire du sport, de marcher dans la rue ou simplement de poser de manière triviale devant un objectif, seuls ou avec leurs parents. Là où ça devient o, c’est lorsqu’elles sont regroupées en catégories, indexées et accompagnées de légendes à caractère pédophile précisant presque systématiquement l’âge du sujet. Dans certains cas, les auteurs de ces albums mentionnent la provenance des clichés et le nom de la victime.

Les nuages de mots des catégories concernées font émerger des termes récurrents comme “young”, “teen”, “candid” (qui désigne une photo à caractère non-pornographique contextualisée comme telle) ou “jailbait” (un mot intraduisible qui décrit un sujet sexualisé dont la physionomie laisse planer le doute quant à sa majorité) et à l’intérieur des albums, les commentaires laissés sous les photos par les utilisateurs ne laissent pas de place au doute. Au fond, imgsrc.ru est le pire cauchemar du parent dont l’enfant commence à utiliser Internet et dévoiler sa vie sur des réseaux sociaux : un endroit où des pédophiles regroupent des photos volées pour les mettre en scène, les consulter et les échanger comme de vulgaires cartes à jouer, sans que personne ne tente de les en empêcher.

Si l’immense majorité du contenu ne peut pas être considéré comme relevant de la pédopornographie, les utilisateurs qui mettent ces images en ligne tombent sous le coup de l’article 227-24 du Code pénal, qui punit de trois ans d’emprisonnement et 75 000 euros d’amende “le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support un message (…) de nature à porter gravement atteinte à la dignité humaine”, à plus forte raison “lorsque ce message est susceptible d'être vu ou perçu par un mineur.”

Au-delà de cette zone “grise”, il semble qu’imgsrc.ru se rende bien coupable d’héberger de véritables clichés pédopornographiques. Si, par défaut, il est impossible pour un utilisateur lambda d’accéder à tous les contenus entreposés sur le site, un simple décochage d’option permet de découvrir des albums protégées par des codes. Ce sont ces albums qui sont supposés contenir des images pédopornographiques.

Dans une capture d’écran que Ruwhof présente comme issue du dark web, un petit texte explique que les utilisateurs du site protègent leurs albums avec des combinaisons logiques : EZ (“easy”) vaut 12345, ZE vaut 54321, EZE vaut 123454321, et ainsi de suite. Une parodie de protection qui permettrait à n’importe qui de consulter des albums parfaitement illégaux… Y compris des membres des forces de l’ordre. Pourtant, imgsrc.ru officie à découvert depuis 2006, et personne ne semble en mesure de le faire fermer ou de traduire ses utilisateurs devant la justice – tant au niveau européen que français, quand bien même certains utilisateurs sont clairement identifiés comme venant de France.

En cherchant un peu, on se rend vite compte que le site est identifié de longue date comme un repaire de pédophiles, non seulement par les communautés numériques et les boards Anonymous, mais aussi par les autorités. Plusieurs forums signalaient déjà le site comme “plein de pédopornographie” en 2010 ; en 2013, 2014, 2015 et 2016, des utilisateurs du site ont été traduits devant les tribunaux américains, australiens, britanniques et français. En France, un utilisateur utilisant le pseudo “chairfraîche”, identifié comme un écrivain pour enfants, a été condamné à 30 mois de prison dont 15 ferme en mai 2016 après la découverte sur son équipement informatique de 730 000 fichiers importés, entre autres, depuis imgsrc.ru. Une stratégie d’identification des end-users qui n’empêche en rien le site de prospérer : selon les statistiques compilées par Ruwhof, le site ne fait que gagner en popularité et a engrangé 170 000 utilisateurs sur la seule année 2017. La seule manière de réellement nuire au site, explique Ruwhof, est de doxxer ses administrateurs : les identifier formellement, les exposer au public puis transmettre l’information aux autorités.

Mission impossible ? Pas du tout. Si les propriétaires du site ont bien fait quelques efforts pour rester anonymes, les efforts de l’expert ont payé : en croisant des adresses mail avec des comptes de réseaux sociaux via l’outil de recherche inversée de Facebook (vous ignoriez que ça existait ? C’est pour ça que ça fonctionne aussi bien), Ruwhof est parvenu à identifier avec certitude trois personnes domiciliées en Russie, deux hommes et une femme. Au passage, le chercheur a découvert que l’un des administrateurs s’est plaint que le site soit critiqué pour son contenu “à orientation pédophile” en 2006, ce qui indique que la plateforme a été utilisé à ces fins dès sa création. Selon Ruwhof, interrogé par Les Inrocks, il lui a fallu à peine vingt heures pour déterrer leur identité dans le fouillis des pseudos, en utilisant des outils accessibles à tous comme WhoIs, DomainTools, l’Internet Archive et les outils d’annuaire inversé de plusieurs réseaux sociaux. Normalement, Interpol devrait pouvoir faire de même sans souci. Même une police nationale devrait pouvoir se débrouiller.

Une fois son travail de recherche terminé, Ruwhof a transmis ses découvertes à la rédaction de RTL News, qui s’est occupée à son tour de contacter Europol, Interpol et la police néerlandaise. Et ils n’ont pas été déçus des réponses : tous étaient déjà au courant de l’existence du site, mais chacun a une bonne excuse pour ne pas s’attaquer à ses administrateurs. Pour la police néerlandaise, interrogée par RTL, le site ne fait techniquement rien de mal en n’hébergeant pas de contenu pédopornographique, et les forces de l’ordre choisissent donc de dédier leurs ressources à des cas où “l’abus est caractérisé”. D’autre part, imgsrc.ru est hébergé en Russie, ce qui semble prodigieusement compliquer les procédures.

Si les polices nationales circonscrivent leur action aux frontières de leurs pays respectifs et n’ont d’autre choix que de tenter d’arrêter leurs ressortissants lorsqu’ils utilisent le site, des organes comme Europol ou Interpol sont supposés avoir l’allonge nécessaire pour intervenir à plus grande échelle. Mais là encore, un mur : Interpol s’est refusé à tout commentaire. Europol, elle, a indiqué qu’elle “ne travaill[ait] pas avec les Russes”, écrit Ruwhof. Visiblement, la frontière russe est diplomatiquement impénétrable, ce qui garantit l’impunité aux créateurs du site. Du moins pour le moment.

Car si le travail de Ruwhof a été assez peu relayé en France, ses découvertes ont eu de véritables conséquences politiques aux Pays-Bas en en Belgique : dans les deux pays, plusieurs rédactions nationales se sont emparées du sujet, offrant ainsi au propos de Ruwhof une caisse de résonance bienvenue pour alerter l’opinion publique. Le 2 janvier, la police fédérale belge a ouvert une enquête et appelé à la coopération internationale. Au Pays-Bas, imgsrc.ru s’est invité à l’Assemblée, les députés réclamant une réaction de la part du ministère de la Justice. Depuis, en revanche, plus aucune nouvelle.

Entre le 30 décembre, date de la publication du post de blog de Sijmen Ruwhof, et la date d’écriture de cet article, des milliers de nouvelles photos sont venues s’ajouter à l’énorme collection déjà hébergée sur imgsrc.ru. Pour le moment, personne ne peut rien y faire. Dernier conseil du blogueur/lanceur d’alerte : ne postez jamais – JAMAIS – de photos de vos enfants sur Internet. Internet n’est pas un endroit accueillant.