Rançongiciel Locky : un cas d’école, selon un enquêteur, un travail bâclé selon le prévenu

Alexander Vinnik est-il, comme il se présente, un simple opérateur travaillant sur une plateforme de monnaie virtuelle ou un informaticien de talent à l’origine du rançongiciel Locky ? Ce virus a touché plus de 5 700 victimes dans le monde, dont près de 200 en France.

Le virus, diffusé via une pièce jointe dans un mail, crypte les données des personnes ou sociétés qui cliquent sur le lien infecté. Données récupérables grâce à une clef de déchiffrement obtenue après le paiement d’une rançon payable en bitcoin. En France, près de deux cents victimes ont été recensées. Seules vingt ont versé la rançon en bitcoins. L’argent part sur un wallet, un porte-monnaie virtuel, avant d’être viré sur un autre compte.

Plus à son aise qu’au premier jour d’audience, Alexander Vinnik, toujours par le truchement de deux interprètes qui se relaient, a maintenu qu’il n’avait qu’un rôle technique sur la plateforme Btc-e. Une plateforme d’échange de monnaie virtuelle en monnaie virtuelle ou fiduciaire où ont transité les fonds provenant des rançons. Ses explications ont été entrecoupées par les nombreux incidents entre la défense et le tribunal. La première reprochant au second d’entraver les droits de la défense, le second souhaitant avancer dans l’examen des faits.

Opérateur free-lance, Alexander Vinnik n’a jamais rencontré l’administrateur de la plateforme. Bizarre pour le tribunal. « Je comprends, pour les Français, c’est bizarre, mais en Russie, les relations entre employeurs et employés sont différentes ». Est-ce courant de ne pas connaître son patron, interroge le tribunal. « Dans la plupart des cas, oui, c’est courant de ne pas connaître son nom. Je suis d’accord, c’est bizarre », reconnaît le prévenu conciliant. « Mais en Russie, ce n’est pas simple de mener des affaires. Les gens déboursent beaucoup d’argent pour protéger leur business », poursuit-il. Une sorte de secret des affaires non inscrit dans la loi.

La meilleure défense étant l’attaque, le prévenu s’en est pris aux enquêteurs qui ont effectué un travail bâclé. Comment aurait-il pu envoyer le virus dans un mail en français puisqu’il ne parle pas cette langue ? Même chose en anglais. « Quand on veut trouver les vrais criminels, c’est possible mais c’est compliqué », lâche-t-il laissant entendre qu’il est plus simple de s’en prendre à lui, simple bouc émissaire.

Le site de la plateforme Btc-e était hébergé aux États-Unis, régi par le droit chypriote, adossé à une société-écran aux Seychelles. Le système a-t-il été créé pour opacifier les transactions ? « L’anonymat sur Internet, c’est un mythe », assure le prévenu.

Pour l’accusation, un certain nombre d’éléments le mettent en cause. Des adresses mail liées aux comptes bitcoins qui ont reçu les rançons, la blockchain, le livre comptable du bitcoin, tous accessibles. Et des documents trouvés sur l’ordinateur et le téléphone portable saisis lors de son arrestation.

Sauf que la défense conteste ces documents. Ce ne sont que des copies de copies transmises par les autorités américaines. Avant de jeter un doute sur la probité sur les agents américains. « On n’est pas face à des voyous mais à une autorité judiciaire », s’emporte la procureur, Johanna Brousse. « On ne parle pas de voyous, mais il y a des agents du FBI corrompus », rétorque M^e Zoi Konstantopoulou.

Le passeport du prévenu a été retrouvé associé à l’un des comptes qui ont reçu une grande partie des rançons. « Est-ce un hasard », souligne la présidente ? « Je ne peux pas dire si c’est un hasard, mais vous ne pensez pas que c’est moi la victime de Btc-e. On veut me reprocher des crimes que je n’ai pas commis », rétorque Alexander Vinnik.

Le tribunal a entendu un témoin cité par le ministère public. Ce gendarme, spécialiste de la cybercriminalité, a travaillé en 2016 sur l’une des entreprises victimes du rançongiciel Locky. Il est aujourd’hui en poste à Europol comme spécialiste des monnaies virtuelles.

L’enquêteur, c’est un peu Tintin au pays des wallets. Intarissable sur le sujet. Sa parole est en si haut débit que la présidente lui demande à plusieurs reprises de ralentir pour éviter que l’interprète ne s’asphyxie.

« Mon rôle est de faire parler les transactions », dit-il en préambule. Et cette affaire est un véritable cas d’école. Toute opération en bitcoin est consultable sur une blockchain, « un grand livre de comptes à ciel ouvert », souligne l’enquêteur. Et « la blockchain ne ment pas », dit-il. Dans le cas présent, les criminels derrière l’attaque Locky ont transféré les fonds des comptes ouverts sur la plateforme Btc-e.

Fonds ensuite convertis en monnaie fiduciaire via des vouchers (se prononce [vaouchers] chez les anglophones) émis par Btc-e et utilisables sur la plateforme ; une dernière opération qui ne laisse aucune trace. Mais pour l’enquêteur, tous les vouchers sont liés au rançongiciel Locky et ont abondé en grande partie un compte « Vamnedam » lié à M. Vinnik , selon l’accusation.

À la procureure qui lui demande si le prévenu est la tête du réseau, l’enquêteur répond : « La tête du réseau ? En tout cas, la personne destinataire de la majeure partie des fonds. À partir du moment où une personne reçoit 75 % des sommes frauduleuses, c’est qu’elle est impliquée dans le système. À quel niveau, c’est une autre question. »

Reprise des débats aujourd’hui.

Sur le procès Alexander Vinnik, Dalloz actualité a également publié :

• Distribution de masques chirurgicaux à l’audience : la défense dénonce une « mise en scène », par P.-A. Souchard, le 29 janvier 2020.

• Rançongiciel Locky : la défense d’exaspération des avocats de l’unique prévenu, par P.-A. Souchard, le 20 octobre 2020.