AlphaBay

AlphaBay aurait été annoncé en septembre 2014^[4], prélancé en novembre 2014 et officiellement lancé le 22 décembre 2014. Il a connu une croissance régulière, avec 14 000 nouveaux utilisateurs au cours des 90 premiers jours d'activité. Le site d'information sur le darknet Gwern.net a placé le marché AlphaBay dans le peloton de tête des marchés concernant la probabilité de survie à 6 mois et, effectivement, il a survécu^[10]. En octobre 2015, il a été reconnu comme le plus grand marché en ligne du darknet selon Dan Palumbo, directeur de recherche de Digital Citizens Alliance (en)^[11].

En mai 2015, le site a annoncé la mise en place d'un système numérique intégré de contrats et de dépôt fiduciaire^[12], qui permet aux utilisateurs de définir leurs engagements dans la transaction actuelle ou dans de futures transactions. En cas de dispute, Alphabay agit comme médiateur. Les contrats permettent d'établir la réputation des intervenants en leur donnant une cote qui est visible aux autres partenaires potentiels^[13].

En octobre 2015, AlphaBay comptait plus de 200 000 utilisateurs^[14].

AlphaBay s'est démarqué dans le monde des marchés darknet en acceptant une autre cryptomonnaie que le Bitcoin. En effet, le support de la cryptomonnaie Monero, supposément plus anonyme, a été introduit en août 2016^[15].

À l'été 2017, une opération policière internationale, baptisée Opération Baïonnette, menée par le FBI, Europol et au moins 10 pays dont la Thaïlande, avec l'Unité nationale néerlandaise de lutte contre la criminalité liée aux hautes technologies (NHTCU), a conjointement ciblé deux grands marchés du darkweb^[16]. Le FBI s'est chargé de démanteler AlphaBay pendant que la NHTCU prenait le contrôle et fermait le Hansa Market. Ces autorités pensaient que les utilisateurs actifs sur AlphaBay (ils étaient alors, en juillet 2017, plus de 400 000)^[14] se dirigeraient vers le site Hansa (alors déjà entièrement contrôlé et exploité par la NHTCU). Des chercheurs ont aussi étudié la base d'utilisateurs de Dream Market (lancé fin 2013, sur le réseau Tor, et leader commercial sur le darkweb à ce moment, qui a servi de refuge à de nombreux criminels et autres vendeurs de produits sur d'AlphaBay). Ils ont observé un changement de comportement de chacun de 220 vendeurs nouvellement inscrits sur Dream Market lors de l'Opération Baïonnette (ou peu après), changement détecté en cartographiant leurs caractéristiques individuelles et leurs historiques de schémas de migration. Selon les auteurs, comparativement aux démantèlements « simples », comme celui d'AlphaBay, les effets de la fermeture du Hansa Market sur les vendeurs ont été remarquablement différents : ils ne se sont pas contentés de changer d'activité après la fermeture du Hansa Market ; peu d'entre eux ont simplement migré ; beaucoup ont pris des précautions supplémentaires comme changer de nom d'utilisateur et/ou de clé PGP, beaucoup repartant même de zéro, effaçant complètement leur réputation passée.

En avril 2016, l'API d'AlphaBay a été compromise, entraînant le vol de 13 000 messages^[17].

En janvier 2017, l'API a de nouveau été compromise, permettant la fuite de plus de 200 000 messages privés des 30 derniers jours et d'une liste de noms d'utilisateurs. L'attaque provenait d'un seul pirate à qui AlphaBay a payé une rançon. AlphaBay a déclaré que l'exploit n'avait été utilisé que dans le cadre de cette attaque et n'avait pas été utilisé auparavant^[18].

Le 28 mars 2015, AlphaBay a fait la une des journaux pour avoir vendu des comptes Uber volés^[19],[20]. Uber a fait une déclaration concernant une éventuelle violation de données :

« Nous avons enquêté et n'avons trouvé aucune preuve d'une violation. Toute tentative d'accès frauduleux ou de vente de comptes est illégale et nous avons informé les autorités de cette situation. C'est une bonne occasion de rappeler aux gens d'utiliser des noms d'utilisateur et des mots de passe forts et d'éviter de réutiliser les mêmes informations d'identification sur plusieurs sites et services. »

En octobre 2015, la société de télécommunications londonienne TalkTalk a subi un important piratage^[21]. Les données volées ont été mises en vente sur le marché AlphaBay, ce qui a conduit à l'arrestation d'un jeune garçon de 15 ans^[22].

En août 2017, AlphaBay a été mentionné comme un lieu possible où un des auteurs des alertes à la bombe de centres communautaires juifs de 2017 (en) a pu vendre un service d'alerte à la bombe par courriel. Cet individu, Michael Kadar, a fait 245 appels à la bombe à des écoles et des centres communautaires. Selon le criminologue David Decary-Hetu, cet événement est remarquable, car il constitue le premier exemple de vente de services criminels sur un marché noir^[23].

En juillet 2017, AlphaBay était dix fois plus grand que son prédécesseur Silk Road^[24] (qui a été démantelé en octobre 2013), comptait plus de 369 000 inscriptions^[4] et 400 000 utilisateurs^[14], facilitait 600 000 à 800 000 dollars de transactions par jour^[25] et s'était forgé une solide réputation^{[4],[26],[27]}.

Une série d'erreurs de sécurité élémentaires a entraîné sa chute :

• Au moment où AlphaBay a démarré, en décembre 2014, Alexandre Cazes a utilisé son adresse électronique Hotmail pimp_alex_91@hotmail.com comme adresse de l'expéditeur dans les courriels de bienvenue et les courriels de réinitialisation de mot de passe générés par le site. Il avait également utilisé la même adresse pour son profil LinkedIn et son entreprise légitime de réparation d'ordinateurs au Canada^[4].
• Pour gérer le site, il a utilisé le pseudonyme Alpha02 qu'il avait déjà utilisé auparavant (par exemple, dans des forums de carding (en) et de technologie) depuis au moins 2008, et présenté cette identité à plusieurs reprises comme étant le concepteur, l'administrateur et le propriétaire du site ^[4],[28].
• Lorsqu'il a été arrêté, il utilisait son ordinateur portable pour redémarrer un serveur d'AlphaBay en réponse à une défaillance du système causée par les forces de l'ordre ; en outre, le chiffrement était totalement absent de cet ordinateur portable^[4],[29].
• Son ordinateur portable contenait une liste de tous ses actifs dans de multiples juridictions, ce qui a conduit la police à une saisie complète de ses actifs^[4].
• Les serveurs d'AlphaBay étaient hébergés par une société au Canada directement liée à sa personne^[4].
• Les serveurs contenaient plusieurs portefeuilles de cryptomonnaies non cryptés constamment ouverts^[4].
• Le fait qu'il ait utilisé ses revenus provenant d'AlphaBay pour acheter des biens immobiliers et des voitures de luxe et qu'il se soit fréquemment vanté en ligne de ses succès financiers, y compris en publiant des vidéos de lui conduisant des voitures de luxe, a non seulement révélé son emplacement géographique, mais l'a aussi empêché de nier son association à AlphaBay^[4].
• Les actifs acquis grâce à AlphaBay étaient détenus dans une variété de comptes directement liés à sa personne, à sa femme et aux sociétés que lui et sa femme possédaient en Thaïlande (la juridiction dans laquelle ils vivaient), ainsi que dans des comptes personnels directement détenus au Liechtenstein, à Chypre, en Suisse et à Antigua^[4].
• Ses déclarations sur l'objectif du site - « lancé en septembre 2014 et son but est de devenir le plus grand marché darkweb de type eBay » - ont contribué à établir légalement son intention^[4].

Les forces de l'ordre ont mis au moins un mois pour obtenir un mandat américain, puis plus d'un mois pour obtenir des mandats étrangers, préparer et exécuter des perquisitions et des saisies au Canada et en Thaïlande^[4] :

• au début du mois de mai 2017, les forces de l'ordre sont actives sur le site de manière vérifiable depuis au moins ce moment^[4] ;
• 1^er juin 2017 : Mandat émis par le tribunal de district des États-Unis pour le district Est de la Californie pour racket, trafic de stupéfiants, vol d'identité et fraude aux dispositifs d'accès, transfert de fausse identité, trafic de matériel de fabrication de dispositifs illégaux et complot pour blanchiment d'argent^[4].
• 30 juin 2017 : Un mandat d'arrêt est émis pour Cazes en Thaïlande à la demande des États-Unis^[30],[31].
• 5 juillet 2017
  • La police canadienne effectue une descente chez EBX Technologies à Montréal, la société canadienne de Cazes et le lieu déclaré des serveurs, ainsi que dans deux propriétés résidentielles à Trois-Rivières^[32].
  • Cazes est arrêté à Bangkok dans son habitation de Phutthamonthon Sai 3 Road dans le district de Thawi Watthana qui est fouillée par la police royale thaïlandaise, avec l'aide du Federal Bureau of Investigation (FBI) et de la Drug Enforcement Administration (DEA)^[4],[30].
• 12 juillet 2017 : Le suicide présumé de Cazes par pendaison lors de sa détention au siège du Bureau thaïlandais de répression des stupéfiants dans le district de Laksi, à Bangkok. Il faisait l'objet d'une extradition américaine^[4],[30] et la peine probable pour ses crimes était l'emprisonnement à vie sans possibilité de libération.
• 16 juillet 2017 : L'épouse de Cazes a été inculpée pour blanchiment d'argent^[33],[34].
• 20 juillet 2017 ; le procureur général des États-Unis Jeff Sessions annonce la fermeture du site^[35].
• 23 juillet 2017 : Le chef du Bureau de répression des stupéfiants est interviewé et laisse entendre que d'autres suspects seront bientôt arrêtés^[36].