La police saisit Hydra, la plus grosse des plate-formes du « dark web »

Créée en 2015, la place de marché russophone de vente de stupéfiants et de blanchiment d'argent avait connu une croissance stupéfiante de 624 % par an, supplantant la quasi-totalité de ses concurrents. Elle offrait aussi un service de livraison, sorte de « Pokemon Go » de la drogue recrutant de nombreux jeunes livreurs. 

Le parquet de Francfort-sur-le-Main, l'Office central allemand de lutte contre la cybercriminalité (ZIT) et l'Office fédéral de la police criminelle (BKA) ont annoncé avoir saisi et fermé les serveurs d'Hydra, la « plus grande place de marché illégale du darknet ». Ils ont en outre saisi 543 bitcoins, représentant une valeur totale d'environ 23 millions d'euros au taux de change actuel.

Créée « aux environs de 2015 », Hydra dénombrait « environ 17 millions de clients et plus de 19 000 comptes vendeurs enregistrés » (sachant que nombre d'entre eux pouvaient être inactifs, ou être des doublons, ndlr).

Le BKA et le ZIT enquêtaient à son sujet depuis août 2021, avec l'aide de « plusieurs autorités américaines ». Les logos de six agences américaines figurent en effet sur la bannière désormais affichée par les autorités allemandes sur la page d'accueil de la place de marché russe.

D'après leurs estimations, Hydra « était probablement le marché illégal avec le chiffre d'affaires le plus élevé au monde ». Ses ventes se seraient élevées à « au moins 1,23 milliard d'euros rien qu'en 2020 ».

L'Office of Foreign Assets Control (OFAC) du Département du Trésor américain a dans la foulée publié un communiqué confirmant qu'il s'agissait d'une initiative conjointe réunissant le ministère américain de la Justice, le FBI, la Drug Enforcement Administration, l'Internal Revenue Service Criminal Investigation et le Homeland Security Investigations :

« L'enquête de l'OFAC a identifié environ 8 millions de dollars de produits de ransomware qui ont transité par les comptes de monnaie virtuelle d'Hydra, y compris des variantes de ransomware Ryuk, Sodinokibi et Conti. Selon les analystes de la blockchain, environ 86 % des Bitcoins illicites reçus directement par les échanges de devises virtuelles russes en 2019 provenaient d'Hydra. »

L'OFAC a aussi identifié, et rendu publique, plus de 100 adresses de crypto-monnaies utilisées pour effectuer des transactions illicites. Il sanctionne en outre Garantex.io, un bureau de change virtuel fondé fin 2019 et enregistré à l'origine en Estonie :

« L'analyse des transactions connues de Garantex montre que plus de 100 millions de dollars de transactions sont associés à des acteurs illicites et aux marchés du darknet, dont près de 6 millions de dollars du gang RaaS russe Conti et environ 2,6 millions de dollars d'Hydra. »

Une croissance stupéfiante de 624 % d'une année sur l'autre

La société Elliptic, spécialisée dans l'analyse des blockchains et crypto-monnaies, estime qu'Hydra aurait facilité plus de 5 milliards de dollars de transactions Bitcoin depuis décembre 2015.

crédits : Chainalysis et Flashpoint

Une étude de Flashpoint et Chainalysis avait souligné, en mai 2021, sa « montée en flèche depuis sa création ». Le volume de transactions annuelles était en effet passé de 9,40 millions de dollars en 2016 à 1,37 milliard de dollars fin de 2020 : « observée par l'analyse de la blockchain, nous constatons une croissance stupéfiante de 624 % d'une année sur l'autre ».

crédits : Chainalysis

Chainalysis estime même que « la quasi-totalité de la croissance de l'activité des marchés du darknet que nous observons » depuis 2018 pouvait être attribuée à Hydra :

« Si nous excluons Hydra, nous constatons que les revenus du marché darknet sont restés à peu près stables de 2019 à 2020. Hydra est unique en ce sens qu'il ne dessert que les pays russophones et est de loin le plus grand marché darknet au monde, représentant plus de 75% de revenus du marché du darknet dans le monde en 2020. »

crédits : Chainalysis

Alors que l'Europe de l'Est « a l'un des taux les plus élevés de volume de transactions de crypto-monnaie associées à des activités criminelles », Hydra était parvenue à s'élever à la 6e position des principales entités d'échange de crypto-actifs dans la région, entre Coinbase et Kraken.

crédits : Chainalysis​

Hydra servait aussi à blanchir les fonds de nombreux cybercriminels

La fermeture de son principal concurrent en 2017, Russian Anonymous Marketplace (RAMP qui, précise FlashPoint, « était connu pour éliminer ses concurrents via des attaques DDoS et le doxxing de ses opérateurs »), avait permis à Hydra de devenir le principal marché du « dark web » en langue russe.

La plate-forme s'était spécialisée dans la vente de stupéfiants, mais également des documents falsifiés, de cartes SIM, entre autres données (telles que des informations de cartes de paiements) et services numériques.

Sa popularité avait bénéficié de plusieurs facteurs. D'une part, le fait qu'une bonne partie de ses concurrents aient été saisis (et fermés) par les autorités, Hydra étant la seule plate-forme à n'avoir pas cessé de fonctionner depuis 2015, au point d'être devenue le leader du marché depuis 2017.

crédits : Elliptic

D'autre part, relève Elliptic, c'était également la seule à explicitement cibler « un certain nombre de pays tels que la Russie, l'Ukraine, la Biélorussie et le Kazakhstan ».

Hydra offrait en outre un service de blanchiment des transactions numériques. En mélangeant les crypto-actifs dans plusieurs porte-monnaies, afin de les rendre plus difficiles à tracer, son « Bitcoin Bank Mixer » avait d'ailleurs « rendu les enquêtes extrêmement difficiles pour les forces de l'ordre », souligne le communiqué des autorités allemandes. 

Elliptic relève qu'il attirait ainsi « des fonds provenant de nombreux autres domaines de la cybercriminalité, y compris les rançongiciels, cartes de crédit volées, la pédocriminalité, les escroqueries, les pyramides de Ponzi », contribuant à élargir ses sources de revenus au-delà de la seule vente de drogues et de produits ou services illicites.

Chainalysis explique à Wired qu' « environ la moitié des quelque 2 milliards de dollars de transactions effectuées sur les adresses de crypto-monnaie d'Hydra en 2021 et au début de 2022 provenaient de sources illicites ou "risquées", tels que des fonds volés, des marchés du dark web, des rançongiciels, jeux d'argent en ligne, escroqueries, ainsi que des individus et organisations confrontés à des sanctions » : 

« En d'autres termes, près d'un milliard de dollars de l'argent entrant à Hydra au cours de cette période n'était pas de l'argent propre utilisé pour acheter de la drogue ou d'autres produits de contrebande disponibles à la vente sur le site, mais plutôt de l'argent sale qu'Hydra aidait à blanchir et à échanger en roubles. »

Un Pokemon Go de coursiers recrutés par petites annonces

Hydra permettait également de se faire livrer, non seulement de la drogue, mais également des liasses de billets dissimulées dans des cachettes géolocalisées par des livreurs uberisés, comme l'avait raconté MotherBoard dans une longue enquête fouillée : 

« Les boutiques en ligne d'Hydra emploient une armée invisible de jeunes coursiers connus sous le nom de kladmen ("trésoriers" ou "droppers"), dont le travail consiste à cacher la drogue dans des cachettes GPS prêtes à être récupérées par les acheteurs. Il s'agit d'une solution de contournement "street-tech" dans un pays où le système postal est lent et peu fiable et où le trafic régulier de drogue dans la rue est très risqué. C'est un peu comme Pokémon Go mais pour la drogue. »

crédits : Motherboard

Ces kladmens cachaient leurs livraisons « dans des creux d'arbres, des buissons, à l'arrière d'immeubles ou de boîtiers de transformateurs électriques, dans des lieux publics bondés, à proximité de stations de métro ou de forêts locales », et envoyaient les coordonnées, photos et indications pour les retrouver aux acheteurs à l'issue des transactions :

« Par exemple : allez à l'entrée nord du parc et regardez sous le troisième arbre sur votre gauche. Après avoir effectué cette petite quête, les acheteurs disposaient de 24 heures pour confirmer avoir récupéré la marchandise, et laisser un avis. Et avec l'essor des affaires, Hydra avait créé un tout nouveau métier pour les jeunes Russes. »

Pour avoir le droit de travailler, écrivait Motherboard, les livreurs devaient d'abord verser une caution d'environ 6 000 roubles (soit 86€ au taux actuel) en bitcoin ou via un portefeuille Qiwi, une plate-forme de paiement en ligne russe, « pour s'assurer qu'ils ne s'enfuient pas avec les premières livraisons qu'ils étaient chargés de cacher ».

crédits : Motherboard

Ils n'étaient ensuite payés qu'après avoir caché 6 000 roubles de « trésors », du nom donné à leurs livraisons. « J'avais un prêt, beaucoup de dettes et subitement perdu mon emploi. Je devais de toute urgence trouver une issue. J'étais déjà une consommatrice de drogue expérimentée et j'achetais sur des sites en ligne, j'ai donc décidé qu'il était temps de tenter ma chance et de me lancer », avait détaillé une kladwoman, Galina, à Motherboard.

Elle expliquait cacher de 10 à 20 « trésors » par jour, parfois jusqu'à 30 ou 40 : du hashish, de la MDMA et des amphétamines, puis « presque exclusivement de la méphédrone » (aussi appelée M-CAT ou Miaou Miaou), « une drogue qui est devenue de plus en plus populaire en Russie au cours de la dernière décennie ».

Elle récupérait la drogue dans un « master drop », une réserve de plusieurs dizaines voire centaines de grammes, « cachée au fond de la forêt, loin de Moscou » :

« Parfois, les choses sont pré-emballées, mais parfois nous devions les diviser nous-mêmes. Par exemple, vous récupérez 200 grammes de méphédrone, les ramenez à la maison pour les ré-emballer. C'est un exercice très long et ennuyeux, mais je pouvais décider combien de sachets de quel poids je voulais faire et c'était très pratique. Habituellement, je faisais 10 sachets d'un gramme, 10 de deux grammes, et j'allais les cacher, gardant le reste jusqu'à la prochaine fois. »

Un guide pour expliquer comment planquer de la drogue en public

La deuxième tâche confiée par Hydra à ses livreurs consistait à prendre une photo de la cachette, rédiger une description permettant de la géolocaliser, puis à les télécharger sur le site de la boutique. Dix colis lui prenaient généralement 30 minutes, mais parfois plus de temps : « Tor se fige, Internet se déconnecte... et puis vous devez tout recommencer ».

Une « Bible de Kladman », guide pratique de 26 pages, détaillait aux livreurs les trucs, astuces et procédures à suivre. Au-delà du recours aux messageries chiffrées, il leur était aussi conseillé de télécharger les cartes, de sorte de pouvoir se géolocaliser sans être connecté, entre autres modus operandi :

« Vous devez avoir l'air normal, moyen, mais soigné, et surtout, vous déplacer en confiance, calmement. N'agissez pas de manière suspecte et ne soyez pas pressé ; ne vous promenez pas habillé comme un punk ou un vagabond ; n'allez pas non plus en costume-cravate : ça ferait tiquer de voir un directeur de bureau ramper dans les buissons. »

Les bonnes cachettes sont des endroits « où le client a juste à tendre la main », comme les grands buissons ou les boîtiers de transformateurs électriques. Les mauvaises cachettes sont « près des écoles, des cimetières et des postes de police (car ils peuvent attirer une attention indésirable), des cours d'immeubles (car les portes peuvent être fermées lorsque le client y arrive) et même des gouttières (sauf si les emballages sont étanches) » :

« Il y a deux façons de faire vos tournées. Vous pouvez soit vous promener, chercher des endroits où cacher les sachets et prendre des photos au fur et à mesure. C'est plus rapide, mais plus risqué car vous vous promenez toujours avec un sac à dos plein de produits.

L'autre moyen est de se promener sans les produits et de noter les cachettes possibles au fur et à mesure, puis d'y revenir par la suite. Cela prend plus de temps mais vous pouvez découvrir plus de cachettes de cette façon, et c'est moins risqué. La vitesse à laquelle vous faites votre travail n'est pas aussi importante que l'efficacité. »

13 ans 1/2 de prison pour s'être partagés 250 roubles (2,68 euros)

De nombreux kladmen n'en sont pas moins arrêtés, et condamnés. Arseniy Levinson, avocat du New Drug Policy Program de l'Institut des droits de l'homme, expliquait à Zona que 80 % des 10 771 personnes de moins de 29 ans condamnées pour trafic de drogue en 2018 avaient entre 18 et 25 ans, et que la plupart l'avaient été en tant que livreurs.

Il tirait ses conclusions de l'analyse des messages reçus par le projet du service d'aide juridique Hand-Help.ru créé par son père, le militant des droits de l'homme Lev Levinson, qui avait mené plus de 13 000 consultations en 13 ans afin d'aider des personnes accusées de trafic de drogue :

« Selon lui, les propriétaires des boutiques de drogues du dark web sont très rarement poursuivis, et la majorité des personnes condamnées en vertu de cet article sont en fait des "coursiers" souvent "employés à temps partiel" recrutés par petites annonces et qui n'ont même pas travaillé pendant un mois. »

L'avocat renvoyait également à des articles de la BBC et de Radio Liberty, narrant par le menu les histoires de nombreux jeunes adultes, mais également mineurs, condamnés pour certains jusqu'à 13 ans et demi de prison pour s'être partagés 250 roubles (soit 2,68 euros au cours actuel), issus d'une livraison de drogue. En Russie, le trafic de drogue est en effet passible de peines de prison « pouvant aller jusqu'à 20 ans, même pour des montants relativement faibles », précise Motherboard.

« C'est le même genre de personnes qui travaillent au Yandex Pizza Club », un service de commande et de livraison de nourriture en ligne, expliquait Levinson : « Les publicités pour les services de livraison d'Hydra sont presque exactement les mêmes : des horaires de travail flexibles, adaptés à votre temps d'étude ». Mais alors que Yandex paie « au moins 10 000 roubles » (111 €) par jour, un kladman pouvait espérer gagner jusqu'à trois fois plus :

« Probablement la moitié d'entre eux avaient une consommation problématique de drogues, n'avaient plus d'argent pour cela, et s'étaient mis à en livrer pour financer leur propre dépendance. L'autre moitié sont des étudiants des régions rurales de Russie qui n'ont pas d'autres moyens de gagner de l'argent. À Moscou, vous pouvez obtenir un emploi de livreur de pizza, mais en province, il n'y a pas de telles opportunités. »

Motherboard racontait également qu'en plus des peines de prison, les kladmen risquaient aussi de se faire braquer par des voleurs opportunistes ayant compris l'intérêt de se spécialiser dans la traque des kladmen, mais également d'être rattrapés et battus par des milices citoyennes anti-drogues, ou encore d'être employés par des policiers créant des boutiques afin de pouvoir les arrêter...

Un business model florissant, mais aucune arrestation

Le modèle économique d'Hydra tranchait avec celui des autres plate-formes du « dark web ». Alors que, sur d'autres marchés, les vendeurs paient une fois pour avoir le droit d'ouvrir un compte, les boutiques d'Hydra devaient a contrario s'acquitter d'un loyer mensuel de 100 $, voire de 1 000 $ pour disposer d'un compte présenté comme « vendeur de confiance », et dont les annonces étaient mises en avant.

Signe de sa professionnalisation : en 2018, raconte Lenta dans un long webdoc (en russe), Hydra avait été jusqu'à diffuser des publicités sur YouTube et VKontakte, vues plus de 33 millions de fois avant qu'elles n'en soient retirées. Hydra avait aussi acheté des bases de données de numéros de téléphone sur le darknet, afin de leur envoyer ses publicités via Telegram, manège qui dura pendant plusieurs mois : 

« Un poste avec un lien vers Hydra coûte de 10 à 150 000 roubles [1 600 €, ndlr]. On publie de un à trois messages de ce type par semaine. Si vous aviez un réseau de plusieurs grandes chaînes, 200 à 300 000 roubles sortaient par jour. Cinq ou six millions par mois [soit 53 voire 64 000 €, ndlr]. »

Lenta estime qu'Hydra dépensait 50 à 70 millions de roubles par mois sur les publications de Telegram, « soit à peu près le même montant que les grandes marques légales dépensent en publicité sur Internet », et qu'à la fin de 2018, les dépenses totales d'Hydra en marketing dans Telegram s'élevaient à près d'un milliard de roubles (soit près de 11 millions d'euros au cours actuel).

Hydra disposait en outre de sa propre équipe de chimistes chargée de tester les stupéfiants commercialisés sur la plate-forme, mais également de médecins chargés de prodiguer des conseils de sécurité aux acquéreurs. « Un sous-forum partageait les résultats de leurs tests, avec des graphiques, analyses et photos. Si les produits n'étaient pas à la hauteur, Hydra infligeait des sanctions », précise Motherboard.

Flashpoint et Chainalysis relèvent qu'Hydra se distinguait également en imposant des « contrôles stricts » à ses vendeurs. Ces derniers devaient en effet avoir réussi au moins 50 transactions, ou disposer d'un portefeuille équivalent à « au moins 10 000 dollars US » pour effectuer des retraits.

Ils devaient également « faire face à des contraintes tout aussi strictes » quant aux services de paiement et d'échanges autorisés à convertir leurs crypto-monnaies, « exclusivement ou principalement basés en Russie et dans les pays d'Europe de l'Est amis de la Russie ».

Les « vendeurs de confiance » devaient en outre avoir accumulé au moins 1 000 transactions, et les litiges avec leurs clients ne pas dépasser 7 % du nombre total de commandes par mois.

Le communiqué de presse publié par les forces de l'ordre allemandes n'indique pas si des membres du personnel d'Hydra aient été identifiés. Mais un porte-parole du BKA a déclaré à Bleeping Computer que la saisie des serveurs d'Hydra n'a été suivie d'aucune arrestation à ce stade.

L'acmé d'une série de saisies et de fermetures de plate-formes russes

Cette saisie intervient à un moment où les services darknet, en particulier ceux opérant en Russie, « sont confrontés à des turbulences croissantes », note Elliptic :

« L'hiver 2021-2022 a vu une série de marchés du darknet se retirer volontairement ou être saisis. Bon nombre de ces saisies ont d'ailleurs été effectuées par les forces de l'ordre russes, qui ont anéanti la moitié du marché des cartes de crédit volées sur le dark web en moins d'un mois. »

D'aucuns estiment que ces interventions faisaient suite aux intenses tractations diplomatiques ayant eu lieu ces derniers mois entre la Russie et les États-Unis, qui critiquaient depuis longtemps le laxisme de la Russie en matière de lutte contre les cybercriminels, et leurs accointances avec les hackers des services de renseignement russes.

Alors que ses concurrents avaient été saisis, et que d'autres avaient choisi de fermer volontairement, Hydra était a contrario restée opérationnelle et populaire depuis lors.

Elliptic estime « peu probable » que le démantèlement d'Hydra soit lié à l'invasion de l'Ukraine par la Russie. Pour autant, sa fermeture est une perte pour ceux qui, criminels ou non, auraient pu vouloir s'en servir pour contourner les sanctions et l'isolement économique affectant les Russes.

Elliptic, qui évoque une « perte importante », se demande dès lors « comment la communauté russe du dark web réagira » à cette série de saisies en cascade en quelques mois seulement :

« Il est possible que les administrateurs d'Hydra cherchent à créer "Hydra 2.0", bien que les réputations soient difficiles à maintenir dans l'écosystème du darknet – encore plus s'il existe des soupçons que votre compte puisse désormais être sous le contrôle des forces de l'ordre.

Il est possible que les administrateurs d'Hydra, ou des personnes non connectées, cherchent à créer un nouveau marché ciblant principalement les clients russes, bien que cela puisse prendre un certain temps pour rétablir le statut dont Hydra jouissait depuis si longtemps. »

Le rapport de Flashpoint et Chainalysis estimait qu'Hydra comptait l'an passé « au moins 11 administrateurs et opérateurs » répondant, précise Wired, aux surnoms d'Ironman, Deus, Handsome Jack, Glavred, Fatality et Satoshi Nakamoto.

Après avoir réussi à échapper à la Justice pendant plus de 7 ans, et alors que les sanctions économiques pleuvent sur la Russie, pas sûr qu'ils se reconvertissent de sitôt dans des activités licites.

1 prisonnier russe sur 7, presque tous des coursiers

On notera enfin que, si la plupart des articles consacrés aux plate-formes de « dark web » évoquent principalement leurs aspects financiers et criminels, le webdoc de Lenta, lui, consacrait également sa 3e et dernière partie aux ravages sociaux afférents.

Il révélait notamment que 1 prisonnier russe sur 7 l'est en raison de la loi sur la vente et production illégales de drogue, et que « plus de 60 % des personnes reconnues coupables sont des jeunes âgés de 18 à 35 ans. Presque tous sont des coursiers » :

« Au total, 88,4 mille personnes en ont été condamnées en 2018. Seulement 19 000 d'entre eux pour la vente de drogue. Les autres ont été condamnés pour achat ou possession. La plupart d'entre eux deviendront des criminels récidivistes et ne reviendront jamais à une vie normale. »

La stigmatisation des personnes condamnées ou ayant été fichées comme ancien toxicomane rendrait par ailleurs d'autant plus difficile le retour à une vie normale, au point que « beaucoup cachent leur toxicomanie par peur de perdre leur emploi, explique une source proche des programmes de désintoxication en Russie » : 

« En région, il est plus difficile de travailler et le niveau des salaires est plus bas, mais tout le monde n'est pas prêt à déménager à Moscou ou à Saint-Pétersbourg. Par conséquent, Hydra a immédiatement construit un réseau de fabricants et de distributeurs dans les régions. Elle a réussi à attirer des milliers de jeunes dans ce réseau. »

L'article se bornait par ailleurs à estimer que « des centaines de milliers de jeunes Russes » étaient devenus dépendants des drogues vendues via Hydra et ses pairs. La question sera donc aussi de savoir ce qu'ils deviendront après ces fermetures en cascade, et comment le marché de la drogue se réorganisera.