L’AdminSys de RaidForums identifié « à l’insu de son plein gré »

L'administrateur du plus gros forum de reventes de fuites de données a été arrêté en Grande-Bretagne, où il attend une possible extradition aux États-Unis. L'enquête du FBI a été grandement facilitée par le fait qu'il avait relié son profil délinquant à sa véritable identité à de (très) nombreuses reprises.

Un Portugais de 21 ans, Diogo Santos Coelho, a été arrêté au Royaume-Uni le 31 janvier à la demande des États-Unis, incarcéré et inculpé dans l'attente d'une procédure d'extradition, révèle le département de la Justice américain.

Il est accusé d'avoir été le principal administrateur de RaidForums.com, un forum de discussion mais aussi et surtout l'une des principales plateformes de revente de données piratées, créé en 2015 et qui avait été saisi puis fermé en février.

Avant cette saisie, les membres de RaidForums y revendaient « des centaines de bases de données volées à des entreprises, des universités et des entités gouvernementales aux États-Unis et ailleurs, y compris des bases de données contenant les données sensibles et privées de millions d'individus à travers le monde, contenant plus de 10 milliards d'enregistrements uniques », précise le communiqué :

« RaidForums permettait également d'organiser et soutenir des formes de harcèlement électronique, notamment par le biais de "raids" – la publication ou l'envoi d'un volume écrasant de contacts sur le moyen de communication en ligne d'une victime – ou de "swatting" – pratique consistant à faire de faux rapports aux agences de sécurité publique sur des situations qui nécessiteraient une réponse importante et immédiate des forces de l'ordre armées. »

Coelho, qui répondait aux pseudonymes d'« Omnipotent », « Downloading », « Shiza » et « Kevin Maradona », fait l'objet de six chefs d'inculpation, l'accusant notamment de complot, fraude aux dispositifs d'accès et de vol d'identité aggravé, dont cinq passibles d'une peine maximum de 10 ans de prison.

Une enquête du FBI, d'Europol et de cinq polices européennes

Si l'accès au site était possible à n'importe qui, il fallait par contre s'y enregistrer pour pouvoir acheter ou vendre des données, et accéder à des services réservés aux membres « VIP », « MVP » et « God », le statut le plus complet, offrant un accès « quasi illimité », et donc coûteux.

RaidForums facturait en effet « des prix croissants pour des niveaux d'adhésion offrant un accès et des fonctionnalités plus importantes » :

« RaidForums vendait également des "crédits" qui donnaient aux membres l'accès à des zones privilégiées du site Web et leur permettaient de "déverrouiller" et de télécharger des informations financières volées, des moyens d'identification et des données provenant de bases de données compromises, entre autres. Les membres pouvaient également gagner des crédits par d'autres moyens, par exemple en publiant des instructions sur la manière de commettre certains actes illégaux. »

Le site proposait différents forums thématiques intitulés « Cracking », « Leaks » et « Marketplace » notamment, où l'on pouvait acheter des numéros de comptes bancaires, données de cartes de paiement volées, codes de vérification de cartes ou dates d'expiration, numéros de sécurité sociale, identifiants de connexion et mots de passe, etc.

Coelho aurait lui-même « vendu personnellement des données volées », mais également « directement facilité des transactions illicites en exploitant un service payant d'"intermédiaire officiel" » :

« Coelho aurait agi en tant qu'intermédiaire de confiance entre les membres de RaidForums cherchant à acheter et à vendre des données piratées sur la plateforme. Ce service d'intermédiaire officiel a permis aux acheteurs et aux vendeurs de vérifier les moyens de paiement et les données de contrebande vendues avant d'exécuter la transaction. »

Le communiqué du département de la Justice américain précise que ces chefs d'inculpation sont « le résultat d'une enquête criminelle en cours menée par le bureau extérieur du FBI à Washington et les services secrets américains », et « remercie également le soutien » fourni par Europol, l'Agence nationale contre la criminalité du Royaume-Uni, les polices suédoise, roumaine et portugaise, l'Internal Revenue Service Criminal Investigation, le bureau fédéral de la police criminelle (Allemagne) et d' « autres partenaires chargés de l'application de la loi ».

L'acte d'accusation ne précise en quoi ils auraient aidé le FBI, mais leurs logos figurent bien sur le bandeau qui barre le forum depuis sa saisie. On y apprend par contre que plusieurs agents sous couverture, ainsi qu'une source humaine confidentielle (CHS), avaient procédé à plusieurs actes d'achat, entre 2018 et 2021, ayant permis à Coelho d'empocher l'équivalent de 215 571 dollars.

Plus d'un demi-million de dollars de crypto-actifs gelés

Europol précise que cette « opération TOURNIQUET, coordonnée au niveau international par le Centre européen de lutte contre la cybercriminalité d'Europol, a été l'aboutissement d'une année de planification méticuleuse entre les autorités répressives impliquées » :

« Cet intense échange d'informations a permis aux enquêteurs de définir les différents rôles joués par les cibles au sein de cette place de marché, à savoir : l'administrateur, les blanchisseurs, les utilisateurs chargés de voler/télécharger les données et les acheteurs. »

On y apprend qu'elle a aussi permis l'arrestation de deux des complices de Coelho, et que le forum dénombrait « plus d'un demi-million d'utilisateurs ».

La National Crime Agency britannique précise pour sa part que l'un des administrateurs a été arrêté à Croydon, dans la banlieue de Londres, en possession de « 5 000 £ en espèces, des milliers de dollars américains », et que ses actifs cryptographiques « d'une valeur de plus d'un demi-million de dollars » ont été gelés.

Coelho avait lui-même admis au FBI être Omnipotent

D'après le très bien informé KrebsOnSecurity, Coelho aurait attiré l'attention des autorités américaines « en juin 2018, lorsqu'il a tenté d'entrer aux États-Unis à l'aéroport international Hartsfield-Jackson d'Atlanta » :

« Le gouvernement a obtenu un mandat pour fouiller les appareils électroniques que Coelho avait dans ses bagages et a trouvé des SMS, des fichiers et des e-mails montrant qu'il était l'administrateur de RaidForums Omnipotent. »

Un affidavit de 65 pages, que l'on ne retrouve plus sur le site du département de la Justice, mais qui est consultable sur archive.org, explique que le FBI avait en outre obtenu une copie de la base de données de RaidForums, ainsi que des données Discord et Twitter de Coelho, confirmant son implication intentionnelle dans ces transactions illicites.

Sur son profil, Omnipotent, décrit comme « Chef suprême » de RaidForums, se présentait comme un développeur et « SysAdmin » utilisant ArchLinux, « Investisseur XMR haussier, Monero sur la lune et au-delà » habitant Londres. Dans la première archive de son profil, en mai 2017, il précisait : 

« Hé, je suis omnipotent, je suis un être humain apathique donc je ne souhaite pas que vous me posiez des questions sur ma journée et je vous rendrai la pareille. »

Dans les faits, il était aussi et surtout très imprudent, ayant associé à de très nombreuses reprises ses pseudos sur RaidForums à sa véritable identité, comme le révèle l'affidavit.

De façon somme toute étonnante, Coelho avait ainsi lui-même reconnu par e-mail au FBI, en 2018, que son pseudonyme était Omnipotent. Il avait également fourni une copie de sa carte d'identité à Coinbase pour y recevoir des fonds provenant de RaidForums.

Une absence quasi totale de sécurité opérationnelle

L'adresse [email protected] utilisée avec l'alias « Kevin Maradona » était associée au téléphone de Coelho, ainsi qu'aux comptes PayPal et bancaires du père de Coelho, qui avaient reçus de nombreuses transactions de RaidForums, et son adresse de récupération était [email protected].

L'analyse du contenu de la boîte aux lettres révélait plusieurs reçus de livraisons faites au domicile de son père, de nombreux mails en lien avec RaidForums, ainsi que des dizaines de photographies dont les méta-données révélaient les coordonnées GPS de son domicile.

Le profil Steam d'Omnipotent, dont il avait fourni un lien sur raidforums.com, était par ailleurs associé à [email protected], ainsi qu'aux données de facturation de Coelho, et des adresses IP utilisées par Omnipotent, Downloading et Shiza renvoyait à son domicile portugais.

Les noms de domaine raidforums.com et de son site de backup raid.lol avaient quant à eux été achetés par un certain « OmniPotent/Kevin Maradona » via une autre adresse mail, [email protected], qu'avait préalablement utilisée Coelho en 2018 pour communiquer avec le FBI.

Et l'analyse d'un portefeuille bitcoin utilisé par Omnipotent révélait des virements vers des portefeuilles Coinbase et Kraken enregistrés au nom de Coelho avec l'adresse mail [email protected].

La semaine passée, le spécialiste du darknet DarkOwl notait pour sa part que deux plateformes de repli avaient été lancées suite à la saisie de RaidForums. Le plus important des deux dénombre d'ores et déjà, un mois seulement après son lancement, 5 498 membres, 2 600 threads, près de 22 000 posts, et plus de 700 fuites et bases de données commerciales et gouvernementales y auraient d'ores et déjà été partagées.