En 2019, la plateforme de cryptomonnaie Gatehub est victime d'un hack. Des millions de dollars en XRP, une cryptomonnaie, s'envolent. L'enquête, particulièrement complexe, suspecte un hacker français. Les victimes, parfois ruinées, ne voient pas le bout de l'affaire.

Ce 1er juin 2019, c’est un jour sans internet pour Ann (*). Cette quinquagénaire américaine, qui vit en Floride, fête son anniversaire. Autant dire qu’elle a mieux à faire que d’aller consulter son compte de XRP, une cryptomonnaie, sur la plateforme Gatehub. Le lendemain, elle se mordra pourtant les doigts de ne pas s’être connectée plus tôt. « Le matin, quand je me suis identifiée, j’ai eu le cœur brisé, raconte-t-elle à Numerama. J’ai immédiatement remarqué que mon portefeuille avait été vidé. »

Il y a près d’un an, Gatehub, une société installée en plein coeur de Londres, sur Regent street, est victime d’un incroyable hack. Le 7 juin, la plateforme de gestion de cryptomonnaie fait les (mauvais) comptes. Près de 103 portefeuilles ont été vidés par l’attaquant sur plus de 18 000 comptes potentiellement affectés. Un très gros raté alors que l’entreprise, fondée en 2015 par le slovénien Enej Pungerčar, assure sur son blog que la sécurité de ses clients est sa priorité.

.alignnone.size-large.wp-image-5965{display:none;}

« J’ai commencé à acheter des XRP à cause de leur prix bas, se souvient Ann. À cette époque, le cours était de 0,006 dollar, en juin 2016. J’en ai acheté un peu chaque semaine, environ 3 000 par semaine pendant environ 7 mois, poursuit-elle. J’ai procédé par petites quantités, car j’étais toujours fauchée. Honnêtement, j’ai rarement fait les bonnes choses dans ma vie. Erreur après erreur. C’est la seule chose que j’ai finalement comprise. »

Le 31 mai 2019, le XRP s’établissait à un cours de 0,378 euro. Faites le calcul : Ann, agent d’assurances en perte de vitesse, qui comptait sur les XRP pour se refaire, a perdu l’occasion de faire une très belle plus-value. Selon son décompte, elle aurait perdu l’équivalent de 70 000 dollars dans le hack. La société d’investigations XRP Forensics estimera le préjudice du cyberhack à la somme rondelette de 25 millions d’XRP, soit alors environ 9,5 millions d’euros, pour plus de 200 victimes recensées.

Les victimes racontent

Ann a investi dans les XRP, car elle avait remarqué que le géant Google avait investi dans Ripple Labs, la société à l’origine de Ripple, un système de règlement innovant lié au XRP, sa monnaie native. Maas (*), également victime du hack, s’est de son côté pris au jeu du XRP par méfiance pour le bitcoin. « Je voyais plus de potentiel dans le XRP que dans le bitcoin, cher et au minage énergivore », explique-t-il à Numerama. Cet ingénieur belge à la retraite se souvient très bien du hack de Gatehub, début juin 2019. « J’ai reçu un email d’avertissement de la plateforme, mais l’un des mes trois plus grands comptes avait déjà été vidé, raconte-t-il. J’étais en colère et effrayé, car il n’était pas clair comment cela avait pu arriver. Je pensais pourtant que cette plateforme était plus sûre et gardait bien au secret mes identifiants. »

.alignnone.size-large.wp-image-5985{display:none;}

Sa perte ? Près de 800 000 XRP, soit à l’époque environ 300 000 euros. Ann, Maas, et les autres victimes de ce hack — des Anglais, des Néerlandais ou encore des Américains — ont aujourd’hui les yeux tournés vers Paris. La justice française suit en effet de près cette affaire. C’est le plus gros cybercasse de cryptomonnaie sur les tablettes des magistrats français. Pour le moment, le dossier est entre les mains du juge Pascal Latournald, au tribunal judiciaire de Paris. À ce stade de la procédure, le secret de l’instruction est de rigueur : autant dire que très peu d’éléments ont filtré sur l’enquête française.

Un hack made in France ?

Cependant quelques éléments majeurs de cette histoire sont déjà bien documentés. On sait ainsi que l’un des principaux mis en cause du dossier est un hacker français, Gabriel B. Le jeune homme de 20 ans, originaire de Tarbes, avait déjà fait la connaissance des magistrats parisiens en février 2019. Plus connu sous l’alias Kuroi’SH, il était jugé avec son ami Prosox pour le piratage de la chaîne Vevo. Une action spectaculaire, commise en avril 2018, qui avait fait disparaître brièvement le clip vidéo Despacito du chanteur Luis Fonsi, alors crédité de plus de 5 milliards de vues sur YouTube.

Même si sa participation à ce premier hack n’avait pas fait de doute, Gabriel B. avait été déclaré irresponsable pénalement, car autiste. La justice le soupçonne aujourd’hui d’avoir été l’une des chevilles ouvrières du cybercasse de Gatehub. Loin de garder le silence, le jeune homme s’accuse lui-même — à tort ou à raison. « Comme je l’ai déjà dit sur le thread XRPChat, je suis le seul qui a volé les fonds », écrit-il depuis son compte « Snoupinet », sur Twitter.

« Je suis le seul qui a volé les fonds  »

À quoi Gabriel fait-il référence ? Sur ce fil consacré au hack, aujourd’hui long de 81 pages, un nouveau message apparaît le 23 octobre 2019 près d’un mois après la dernière publication. L’auteur ? Gnosticplayers, du nom d’un compte très actif sur une marketplace du darknet, Dream market. « Je prends l’entière responsabilité technique du hack de Gatehub, explique Gnosticplayers. J’ai été manipulé en faisant une série de hacks pour de l’argent, y compris Gatehub. »

L’internaute livre au passage une partie de sa recette. La plateforme Gatehub aurait été d’abord victime d’une fuite en 2017 de sa base de données utilisateur, stockée sur un des clouds d’Amazon, contenant des jetons d’accès. « Les détails techniques du hack restent incertains, car rien n’a été confirmé par Gatehub, temporise auprès de Numerama Thomas Silkjaer, le fondateur de la société XRP Forensics. Au départ, nous avons pensé qu’une base de données devait avoir été divulguée et les mots de passe des utilisateurs crackés — certains étaient anciens. Lorsqu’à l’automne une base de données a été vendue sur un forum, cela a confirmé ces soupçons. »

.size-full.wp-image-5966{display:none;}
Le logo de XRP Forensics // Source : Medium

Attaque de dox

La tâche des enquêteurs n’est pas facile. Car sur le net, une drôle de partie se joue entre personnes très bien informées du hack de Gatehub. Aux révélations de « Gnosticplayers » sur XRPChat, suivent d’autres confessions de GnosticPlayers1, puis de GnosticPlayers2, sur raidforum. De quoi entretenir un épais brouillard de guerre sur les responsabilités exactes des uns et des autres. D’autant plus que les hackers ne se limitent pas à de simples révélations.

Au moins deux dox (dénonciations publiques), contre Gabriel B. et son ami Prosox — son partenaire du hack de la chaîne Vevo — sont à compter. Gabriel, qui a eu la mauvaise idée d’envoyer à des tiers une photo de lui s’affichant avec sa carte d’identité, affirme également ne plus avoir la main sur son ancien compte twitter Kuroi’SH, qui affirme être bien le « vrai Gabriel ».

Résultat ? De nombreuses intox circulent sur le web. Une photo met cependant clairement en difficulté Gabriel dans cette affaire. Le jeune homme, parfaitement reconnaissable, pose devant un établissement de pompes funèbres. Des arbres sans feuilles indiquent que nous sommes en hiver ou à la fin de l’automne. Au premier plan, le genou sur le flanc d’une voiture de luxe, Gabriel B., habillé tout de noir. Le véhicule est une Porsche 911 GT3 RS bleu clair, un bolide évalué sur l’argus à près de 200 000 euros.

.size-full.wp-image-5983{display:none;}
Gabriel B. et sa voiture

Dans son livre, « Hunting Cyber Criminals », publié en janvier 2020, l’enquêteur Vinny Troia, qui s’est penché sur cette histoire depuis les États-Unis, affirme que la justice française aurait également saisi deux Lamborghini et l’équivalent de 1,8 million de dollars en bitcoin. Ce chercheur en sécurité a tenté de déchiffrer l’organisation du groupe Gnostic Players. Leur méthode, selon lui ? Cibler des développeurs, se connecter à leurs comptes GitHub et rechercher leurs clés de cloud Amazon et des informations d’identification.

Vinny Troia brosse également le tableau d’un petit groupe rongé par les rancoeurs — l’un des membres estime qu’on lui a volé sa méthode et pas accordé le crédit mérité. Quitte à se découvrir pour des motifs puérils. Prosox, soupçonné d’avoir recelé l’équivalent d’un million d’euros après le cybercasse de Gatehub, s’est retrouvé sur le banc du tribunal correctionnel de Paris, en janvier 2019, pour avoir piraté un site du ministère de la Justice pour se venger d’un dox.

Mis en examen dans l’affaire Gatehub et détenu à la maison d’arrêt de Fleury-Mérogis depuis novembre 2019, le jeune Grenoblois est depuis sorti de détention provisoire. Interrogé, le parquet de Paris s’est refusé à tout commentaire sur cette affaire. On sait seulement, à la faveur de la courte intervention d’une haute gradée de la police française à une conférence d’une association française, le Clusif, que l’enquête a déjà débouché sur la saisie de plusieurs voitures et de produits de luxe et la mise en cause de plusieurs suspects. Une partie des victimes du hack se sont enfin jointes à l’action lancée par le cabinet d’avocat britannique Hayes Connor.

Un espoir pour Gatehub et ses victimes

Pour Gatehub, dont la sécurité a été pointée du doigt, la résolution judiciaire de l’affaire est cruciale. Un bel épilogue permettrait d’éclipser ses propres manques. L’entreprise expliquait il y a un an être en contact avec plus d’une douzaine de fournisseurs de portefeuilles, destinataires des fonds volés par les hackers, pour geler les XRP avant leur blanchiment. Mais aujourd’hui, sa structure juridique — une entité à Londres, une autre en Slovénie — interroge. « Les fonds volés n’étaient pas sous la garde de Gatehub — ils étaient dans des comptes dont Gatehub avait la garde des clés », affirme également sur son blog Thomas Silkjaer. « Ma grande erreur était de croire que j’étais le seul à contrôler et à garder mes propres clés privées sur Gatehub », remarque aujourd’hui Maas. L’ingénieur s’est depuis équipé avec un portefeuille hardware — un Ledger nano.

.alignnone.size-large.wp-image-5986{display:none;}

« Je pense toujours que les cryptomonnaies sont intrinsèquement plus sûres que les autres moyens de paiement, poursuit-il. Mais elles doivent être conservées en suivant des règles de base, ce que je n’avais pas fait. Maintenant, je suis à 100 % le seul à contrôler mes secrets. » Si l’ingénieur est aussi philosophe, c’est parce que malgré le hack, il a réussi une incroyable opération financière. Son investissement de départ lui a déjà rapporté 34 fois sa mise. Et il lui reste encore 1,2 million de XRP, soit, au cours actuel, près de 190 000 euros.

Toutes les victimes ne sont pas aussi vernies. En Floride, Ann ne sait toujours pas si elle va pouvoir remettre la main sur ses fonds. « Gatehub m’a répondu qu’il ne pensaient pas que le piratage de mon compte faisait partie du hack, s’énerve-t-elle. J’ai été choquée. » L’agent d’assurance désormais fauchée a depuis contacté directement la plateforme ChangeNow, destinataire d’une grande partie des XRP dérobés. Bonne nouvelle, elle devrait bien pouvoir récupérer ses avoirs. Mais sous réserve d’une demande en bonne et due forme d’une autorité judiciaire.

Dans un communiqué publié le 2 juillet, Gatehub informe ses usagers qu’ils peuvent se joindre à la procédure pénale en cours en France, en demandant une indemnisation au titre des dommages et intérêts. Une information bien tardive pour des usagers qui ne sont pas forcément familiers avec la procédure judiciaire française.

Pour les victimes, le marathon judiciaire se poursuit.

(*) Pour préserver leur anonymat, le prénom a été changé