L'histoire du ShadowCrew, les précurseurs du dark web

Comment une poignée d'escrocs ont créé et tenu l'un des ancêtres du dark web - et l'un des plus grands sites cybercriminels des années 2000.

|
13 mars 2017, 6:00am

Avant le dark web et ses marchés noirs, les malfrats d'Internet dealaient moins qu'ils n'escroquaient.

Les premiers cybercriminels s'adonnaient avant tout à l'exploitation frauduleuse de lignes téléphoniques, à la contrefaçon de documents officiels et au piratage de cartes bancaires, un procédé connu sous le nom de carding. Dans les années 80, les Bulletin board system (BBS) accessibles par ligne commutée étaient déjà utilisés pour diffuser des informations sur ces activités illégales : un ordinateur et un modem étaient tout ce qui séparaient l'adolescent curieux du faussaire endurci. A une époque où le Commodore 64 s'écoulait à deux millions d'exemplaires par an, cette frontière était particulièrement facile à franchir.

Les gamins formés au larcin numérique sur les BBS se sont retrouvés sur le service de messagerie instantanée Internet Relay Chat (IRC) au début des années 90. C'est là qu'ils ont réalisé leurs premières ventes de cartes bancaires et d'informations personnelles volées. Beaucoup rêvaient d'une communauté solide et de reconnaissance : comme les salles de discussion d'IRC disparaissaient sans laisser de trace à la fin de chaque échange, il était difficile de tisser des liens ou de forger une réputation. L'ouverture au public du web en 1993 a apporté de quoi remédier à ce problème.

Malgré leurs ambitions, les malfrats d'IRC ont mis plusieurs années à comprendre que la toile pouvait servir leurs intérêts. Brett Johnson a largement participé à cette prise de conscience. En 1996, alors qu'il était encore étudiant, ce natif du Kentucky s'est lancé dans la vente de logiciels piratés et le mod-chipping, l'installation de puces qui abolissent les protections des appareils électroniques. "Je me faisais 4 000 dollars par semaine grâce à ça, a-t-il expliqué par mail à Motherboard. Et puis j'ai commencé à m'inquiéter. (…) Je me disais que les flics pourraient débarquer n'importe quand. J'ai décidé de me trouver de faux papiers pour créer un compte en banque sur lequel déposer mes économies".

Tout a basculé en l'an 2000. Après s'être fait voler 200$ par un escroc qui promettait des papiers d'identité valides dans tous les Etats-Unis, Brett Johnson a découvert Counterfeit Library. Ce tout jeune site britannique proposait une bibliothèque de tutoriels à l'usage des cybercriminels, un annuaire de sites de vente de faux documents et un forum de discussion. A l'époque, il était presque désert : "J'étais le troisième inscrit, assure le Kentuckien. J'ai atterri là parce que ce site semblait être le seul à vendre honnêtement de faux documents" . Les deux autres membres du site, Mr X et Beezlebub, proposaient respectivement des cartes de sécurité sociale et des permis de conduire américains.

Caché derrière le pseudonyme GOllumfun, Brett Johnson a d'abord utilisé le forum pour se plaindre de l'arnaque dont il avait été victime : "Il ne s'y passait rien. Tous les jours, j'y allais pour pleurnicher". Au bout de trois semaines, Beezlebub l'a contacté en privé pour lui proposer un faux permis de conduire de l'Ohio à prix d'ami, seulement 200$. Malgré sa crainte d'être à nouveau plumé, il a accepté. "Je l'ai reçu dix jours plus tard, se souvient-il. C'était la plus belle chose que j'avais jamais vu". Cette réussite a rapproché les deux malfrats ; ensemble, ils ont imaginé un plan pour transformer Counterfeit Library en eBay du cybercrime.

Avant toute chose, Beezlebub et Brett Johnson souhaitaient autoriser les échanges commerciaux sur le forum. De cette façon, Counterfeit Library donnerait enfin une raison de rester à ses visiteurs ; à l'époque, il se contentait de rediriger les clients et marchands potentiels vers des sites tiers. Pour empêcher les arnaques, GOllumfun évaluerait tous les aspirants vendeurs avant de leur donner accès aux salles de discussions. Mr X et Beezlebub seraient les premiers à ouvrir boutique, évidemment. Plus de produits, une qualité assurée : après quelques tractations, Brett Johnson a convaincu le propriétaire du site de le bombarder administrateur.

Le succès a été immédiat. Séduits par la fiabilité et les salons de discussions de Counterfeit Library, persistants comme de bon vieux BBS, de nombreux bandits ont abandonné IRC pour rejoindre GOllumfun et ses associés. "Je passais 10 à 12 heures par jour sur le forum, affirme l'ancien pirate. J'étais impliqué dans chaque transaction". Les membres s'échangeaient des faux billets, des papiers d'identité contrefaits, des modèles d'arnaques, des cartes bancaires volées. Les règlements étaient effectués à l'aide de cartes prépayées, de devises numériques douteuses comme E-Gold ou de services de transfert d'argent comme Western Union. Le site a vite passé la barre du millier d'inscrits, pour la plupart originaires d'Amérique du Nord et d'Europe. A l'Est, ce succès a fait des envieux.

Au printemps 2001, 150 cybercriminels venus d'Ukraine et de Russie se sont retrouvés à Odessa pour poser les bases de leur propre plateforme. Le fruit de leurs discussions, Carder Planet, a été mis en ligne en mai 2001. Ce site russophone spécialisé dans le carding reposait sur un système d'évaluation similaire à celui de Counterfeit Library. Ses utilisateurs étaient également soumis à une hiérarchie inspirée de la mafia italienne : un simple inscrit était un "sgarrista", un soldat dénué de pouvoir ; au-dessus de lui, on trouvait le "giovane d'onore", un modérateur placé sous l'autorité d'un "capo". Un hacker ukrainien appelé Script tenait le rôle du parrain.

Quelques mois après l'ouverture de Carder Planet, Script s'est inscrit sur Counterfeit Library pour proposer ses services. Les choses se sont mal passées. "Script ne comprenait pas le système d'évaluation, se souvient GOllumfun. Il répétait qu'il avait la marchandise. Quand les gens lui demandaient de se faire évaluer, il répondait que quiconque achetait ses services pourrait l'évaluer lui-même". Cette attitude réfractaire a suscité une grande inquiétude sur le forum. De nombreux membres soutenaient que Script était policier et qu'il devait être banni.

Pour calmer la situation, GOllumfun a contacté Script en privé. Après quelques explications, l'Ukrainien a accepté de se soumettre à l'évaluation de l'Américain. Le service qu'il souhaitait proposer aux membres de Counterfeit Library, le Change of Billing, consiste à demander un changement d'adresse pour une carte bancaire volée : le compte de la victime est débité et la marchandise livrée au malfrat. C'est une technique risquée.

GOllumfun raconte : "Il m'a dit de donner une adresse et un numéro de téléphone et d'attendre cinq jours. Ensuite, je pourrais commander n'importe quoi. Je me suis dit qu'il ne racontait que de la merde. Mais j'ai essayé. (…) Ca n'a pas marché. Je suis revenu le voir, il m'a dit d'essayer à nouveau. Je lui ait dit que si ça ne fonctionnait pas cette fois, il était baisé. J'ai attendu cinq autres jours. Ensuite, j'ai passé une commande de 4 000$ chez Thompsons Computer Warehouse et une autre de 5 000$ chez Dell, tout sur la même carte. La commande est passée et j'ai tout reçu".

Quand l'évaluation positive de Script a été postée sur Counterfeit Library, tout a changé. Les membres du forum ont délaissé les faux documents et leurs petites arnaques pour embrasser la fraude à la carte bancaire, beaucoup plus lucrative. Soudain, Est et Ouest s'entendaient. GOllumfun explique : "Les Russes pouvaient se procurer des informations mais pas en tirer de l'argent. Ils avaient besoin de nous. Et nous avions besoin d'eux. C'était une relation extrêmement bénéfique".

Il y a plusieurs façons de dérober des informations bancaires. Lorsqu'un appareil électronique finit à la poubelle, il est susceptible d'être rebranché et fouillé par un adepte du trashing. Un commerçant véreux peut utiliser son lecteur de cartes pour cloner les données de ses clients. Les skimmers bricolent des dispositifs pirates qu'ils accrochent aux distributeurs automatiques de billets. Le piratage d'un processeur de paiement, d'une boutique en ligne ou d'une agence gouvernementale peut aboutir au vol de grandes quantités d'informations. Le phishing est également une tactique de choix.

Une fois récupérées, ces données sont vendues en packs appelés "dumps". Les cartes de paiement contrefaites dans lesquelles elles sont injectées peuvent être utilisées dans des distributeurs automatiques de billets, des magasins ou des sites d'e-commerce. Les criminels doivent agir vite : plus les informations vieillissent, plus le vol est susceptible d'être remarqué. Si le paiement passe, le carding est réussi. L'ensemble du procédé a gardé les membres de Counterfeit Library et Carders Planet très occupés entre 2001 et 2002.

Tout le monde ne s'est pas laissé entraîner par la ruée vers le carding. Seth "Kidd" Sanders était de ces rétifs : en 2002, cet amateur de papiers d'identité contrefaits a contacté GOllumfum pour lui signaler son intention d'ouvrir un site réservé aux faux permis de conduire américains. C'est ainsi que ShadowCrew a vu le jour. "C'était un joli site, reconnaît le patron de Counterfeit Library. Le problème, c'est que personne n'y allait. Tout le monde était trop occuper à frauder des cartes bancaires. Au bout d'un mois, il avait à peu près 20 inscrits". Ensuite, le vent a tourné.

Pendant que ShadowCrew peinait à décoller, Counterfeit Library subissait une intense campagne de spamming organisée par des centres de formation à distance. Le commerce des diplômes contrefaits n'avait que trop perturbé leurs activités ; en noyant les faussaires sous un flot de messages, leurs responsables espéraient reprendre le contrôle du marché. "Le site avait été construit sans système de défense contre le spam, raconte GOllumfun . C'était gênant. Très gênant. Ces types avaient leur propre forum et ils se relayaient pour nous flooder".

Lorsqu'il a constaté que Counterfeit Library était en difficulté, Kidd a contacté GOllumfun pour lui proposer de faire migrer sa communauté vers ShadowCrew. Le Kentuckien a répondu favorablement, sous certaines conditions : "Je serais administrateur général. (…) J'aurais le droit de créer tous les nouveaux sous-forums de mon choix. La gestion des modérateurs me reviendrait également. Et je mettrais en place un système d'évaluation auquel tous les membres devraient se soumettre". Kidd a accepté après avoir obtenu le partage des 300$ de frais d'hébergement mensuels. Deux jours plus tard, le forum de Counterfeit Library était hors-ligne.

Grâce à GOllumfun, à son équipe d'administrateurs vétérans et aux rescapés de Counterfeit Library, le bateau de sauvetage ShadowCrew n'a pas tardé à se transformer en plate-forme de référence. Les internautes l'appréciaient tant pour son archive de tutoriels que pour ses sous-forums thématiques, dans lesquels des centaines de vendeurs proposaient une variété inédite de biens et services illégaux : documents contrefaits (80$ pour un acte de naissance, 2 000$ pour un passeport), cartes de paiement piratées (environ 30$ pour un dump), attaques DDoS (200$ par frappe), virus personnalisés, drogues en tout genre… La seule marchandise interdite était la pédopornographie.

Contrairement à Counterfeit Library, qui tolérait les transactions plus qu'il ne les encourageait, ShadowCrew était avant tout un site commercial. Le public en était très heureux : en avril 2003, seulement huit mois après son ouverture, le forum comptait déjà 4 000 membres venus du monde entier. Dans son enquête Kingpin, le journaliste Kevin Poulsen affirme que ShadowCrew était le premier marché noir international de l'histoire : "Un voleur d'identité de Denver pouvait acheter des numéros de carte de crédit à un hacker moscovite, les envoyer à Shanghaï pour qu'ils soient transformés en cartes contrefaites, puis se procurer un permis de conduire auprès d'un faussaire ukrainien avant d'aller faire un tour au centre commercial".

Bien sûr, les choses ont fini par se gâter. Au mois de novembre 2002, deux administrateurs de ShadowCrew ont été arrêtés dans l'Etat de Washington alors qu'ils s'apprêtaient à récupérer 30 000$ de marchandise commandée à l'aide de cartes piratées. Le premier, David "El Mariachi" Thomas, a pris peur alors qu'on lui énonçait ses droits. "Amenez-moi des agents du FBI, a-t-il déclaré aux policiers, et je vous livrerai une affaire avec des Russes et des millions de dollars". Il a passé trois mois en prison avant de se mettre au service de la police fédérale. Le second, Kim Marvin "Macgyver" Taylor, a pris la fuite après avoir été libéré sous caution grâce à Kidd.

David "El Mariachi" Thomas

La trahison d'El Mariachi a beaucoup inquiété le créateur de ShadowCrew : plus de doute possible, son site était dans les dossiers du FBI — et lui aussi. "Il m'a dit qu'il s'en allait, se souvient GOllumfun. Je me suis retrouvé avec tous les pouvoirs". La situation n'était pas bonne, le forum avait besoin de nouvelles recrues pour continuer à fonctionner. Macgyver, de retour au conseil d'administration malgré son statut de fugitif, a présenté le hacker Albert "CumbaJohnny" Gonzalez à son nouveau patron. "Il m'a dit qu'il était bon, qu'il pouvait gérer le serveur et les problèmes logiciels, se souvient GOllumfun. Cumba était bon. Alors j'ai dit oui". Cette décision a abouti à la mort de ShadowCrew.

Au mois de juillet 2003, CumbaJohnny a été arrêté à Manhattan alors qu'il essayait de retirer de l'argent avec des cartes contrefaites. L'investigation a été confiée à l'Electronic Crimes Task Force de l'United States Secret Service (USSS), l'agence gouvernementale en charge de la lutte contre la fraude financière. Lorsqu'ils ont découvert des millions de numéros de compte volés dans l'ordinateur du pirate de 22 ans, les enquêteurs ont compris qu'ils avaient attrapé un gros poisson. Ils n'ont pas eu beaucoup de mal à le convaincre de se ranger du côté de la loi : soit il devenait indicateur, soit il passait 20 ans en prison. L'Operation Firewall était en marche.

Le site défacé du ShadowCrew, au moment de l'enquête de l'USSS.

GOllumfun affirme qu'il a été prévenu de l'existence de l'enquête par un certain Enhance ; grâce à son poste chez l'opérateur téléphonique T-Mobile, ce hacker aurait réussi à accéder aux messages des membres du Secret Service. A la fin de l'année 2003, le Kentuckien a annoncé qu'il prenait sa retraite. Sans en avertir ses camarades, il aurait tout de même maintenu une présence sur ShadowCrew sous le pseudonyme Madhatter. CumbaJohnny, qui utilisait déjà ses pouvoirs de modérateur pour infiltrer les forces de l'ordre dans le forum, l'a remplacé de facto.

Au début de l'année 2004, CumbaJohnny a convaincu l'équipe de direction puis les membres de ShadowCrew d'utiliser un réseau virtuel privé (VPN) pour communiquer. Il garantissait que ce système leur permettrait de se protéger des forces de l'ordre en chiffrant tous leurs échanges. En réalité, son VPN avait été créé et mis sur écoute par le Secret Service lui-même : chaque message était intercepté et ajouté au dossier. Au mois de mai, il a été utilisé pour transférer plus de 115 000 numéros de cartes de crédit ; en septembre, il a permis une transaction concernant 18 millions d'adresses e-mails piratées. Le point final de l'Operation Firewall approchait.

Le coup de filet a été déclenché le 26 octobre 2004 à 21 heures, heure de la côte Est. Trois heures plus tard, 28 personnes avaient été arrêtées dans six pays différents. 19 d'entre elles ont été inculpées, 15 ont plaidé coupable. L'acte d'accusation affirme que "les membres de ShadowCrew ont fait commerce et utilisé sans autorisation au moins 1,5 million de numéros de cartes de crédit volés, causant des pertes supérieures à 4 millions de dollars". La seule condamnation dont nous avons retrouvé la trace semble sévère : en 2006, Kenneth "On The Fringe" Flurry a écopé de trois ans de prison pour avoir rédigé un tutoriel décrivant le fonctionnement des bandes magnétiques.

La dernière version du site du ShadowCrew.

Après avoir été défacé par le Secret Service, ShadowCrew a été mis hors ligne à la fin de l'année 2004.

Albert "CumbaJohnny" Gonzalez n'a jamais été jugé pour son implication dans ShadowCrew. En mars 2010, il a été condamné à 20 ans de prison pour avoir piraté plusieurs entreprises entre 2005 et 2007.

Brett "GOllumfun" Johnson a échappé à l'Operation Firewall. En 2004, il est tombé amoureux d'une prostituée, Elizabeth, qu'il a désespérément tenté d'arracher à la drogue : "J'ai vidé mes comptes pour l'envoyer en cure et pour lui acheter beaucoup de choses, nous a-t-il expliqué. Pour la tenir éloignée de la cocaïne". Ces dépenses l'ont contraint à sortir de la retraite. Au mois de février 2005, il a été arrêté en Caroline du Nord après avoir produit un faux chèque. Lorsque les agents du Secret Service ont appris que le fameux GOllumfun avait finalement été appréhendé, ils se sont empressés de le transformer en informateur.

Brett "GOllumfun" Johnson en 2016.

"J'ai travaillé pour l'USSS pendant 10 mois, raconte Brett Johnson. J'ai aidé à entraîner des agents, aidé à attraper des anciens associés. Les seules personnes que je n'ai jamais aidé à attraper sont les Russes. Pas un." Ensuite, ses nouveaux employeurs ont découvert qu'il pratiquait toujours le carding et la fraude fiscale, peut-être depuis leurs ordinateurs. Au mois de mai 2007, il a été condamné à six ans et trois mois de prison ; après une tentative d'évasion, cette peine a été allongée à sept ans et six mois.

Aujourd'hui, Brett Johnson est consultant et maître de conférences spécialisé dans la cybersécurité. Il assure en avoir fini avec l'illégalité mais reconnaît que le passé lui souffle dans la nuque : "J'ai été contacté par d'anciens associés de Counterfeit Library et Shadow Crew. Beaucoup ont du mal à trouver du travail. Certains sont retournés dans la fraude. Quelques-uns s'en sortent plutôt bien. C'est difficile de se défaire des crimes que nous avons commis"