Ils étaient les meilleurs amis du monde. Les voici côte à côte devant le tribunal correctionnel, ou plutôt face à face. Poursuivis pour des extorsions à la fausse consultation de sites pornographiques, Augustin I. et Jordan R. jouent désormais leur partition en solo. Les deux jeunes hommes de 25 ans, qui s’étaient rencontrés dans le jeu en ligne, étaient pourtant devenus inséparables au fil des ans, partant en vacances en Europe ensemble avant de s’établir pendant trois mois à Odessa, en Ukraine. Une ville d’où ils ont lancé, expliquent-ils, leurs campagnes massives d’arnaques au crypto-porno ayant visé des internautes français dans la première moitié de l’année 2019.
Mais cette amitié n’a pas survécu à la procédure judiciaire qui les a visés. “En garde à vue, j’ai tout mis sur mon dos, cela ne servait à rien d’envoyer deux personnes en prison, explique au tribunal Augustin, un grand bonhomme élancé au débit de mitraillette. Puis il a décidé d’assassiner la personne que j’étais, j’ai trouvé ça bas. Je pensais que c’était mon ami. J’ai décidé de tirer les choses au clair.” Autrement dit, pour le concepteur du malware Varenyky, un logiciel malveillant qui a permis de constituer un botnet de machines infectées pour lancer en masse des messages d’extorsion, de rétablir un équilibre sur les responsabilités de chacun.
Show en garde à vue
Ainsi, si Augustin avait fanfaronné en garde à vue, ce n’était que pour faire le show, quitte à inventer un palmarès criminel qu’il n’avait pas. Une grandiloquence qui contrastait avec le profil bas de Jordan. Ce dernier avait expliqué lors de l’instruction judiciaire n’avoir touché qu’une petite fraction du butin – estimé par les deux mis en cause à l’équivalent d’environ 150 000 euros – et donné seulement des conseils pour la gestion des serveurs du botnet. Avant ensuite, moqueur, de signaler au juge d’instruction qu’Augustin devait être bien content d’être en prison, nourri et logé.
« C’est faux »
Résultat: lors des deux premiers jours du procès, les prévenus se sont régulièrement contredits. “Qui est Viktoriia?”, une jeune femme impliquée dans le blanchiment des bitcoins extorqués, demande ainsi la présidente du tribunal, Florence Lasserre-Jeannin. “Je ne la connaissais pas”, répond Jordan. “Et vous, Augustin?”, demande la magistrate. “Bien sûr que je la connaissais, c’était sa copine”, répond-t-il aussitôt. “C’est faux, rétorque aussitôt Jordan, c’était la petite amie de Timur, qui m’échangeait des euros contre des bitcoins.” Augustin admettra le lendemain s’est trompé. “On a l’impression que vous voulez l’enfoncer coûte que coûte”, gronde Guillaume Halbique, l’avocat de Jordan.
Mais malgré ces passes d’armes régulières entre les deux prévenus, la division des tâches semble assez claire. Donnant ainsi des indications instructives sur le quotidien d’une petite PME du cybercrime. Après avoir tout d’abord envisagé de gagner de l’argent avec de la “publicité” – comprendre l’envoi massif de spams – les deux jeunes hommes expliquent s’être lancés dans l’arnaque au crypto-porno à l’aube de leurs vingt ans. Une opération quasi prête en septembre 2018, la date à laquelle Augustin rejoint Jordan à Odessa. Quant à leur cible, les internautes français, elle serait purement opportuniste: les deux mis en cause ont trouvé une astuce pour tromper le filtre anti-spam d’Orange – Jordan avait toutefois signalé durant l’instruction sa crainte de la justice américaine.
Une fonctionnalité qu’il n’approuvait pas
Quoiqu’il en soit, c’est Augustin qui s’était occupé au préalable de développer le malware Varenyky. Un logiciel malveillant inspiré de TinyNuke, sa précédente création, mais expurgée des parties de code copiées qu’il ne maîtrisait pas et qui étaient à l’origine de bugs. Mais ensuite, affirme-t-il aux magistrats, il n’a pas touché à la gestion des serveurs du botnet. Ni choisi les mots clés de la fonctionnalité d’activation à distance de la webcam du malware, lancée pendant quelques jours avant d’être arrêtée, un projet qu’il n’approuvait pas. Enfin, Augustin assure n’avoir eu accès qu’à un seul wallet crypto, qui n’était pas le compte réceptionnant les rançons récoltées.
Au tour de Jordan de donner sa version. Et sans surprise, il reprend son ancien ami sur plusieurs points. Non, ils avaient bien tous les deux accès aux serveurs du botnet. “Au début, Augustin a essayé, mais il n’était pas très bon, il s’y connaît moins en serveurs que moi”, signale-t-il par exemple aux magistrats. Cet outil malveillant leur coûtait, estime-t-il, jamais plus de 1000 dollars par mois. Une somme à comparer à l’addition des transactions observées sur les adresses cryptos liées à l’arnaque faite par les enquêteurs, soit environ 1,3 million d’euros.
Quant à la fonctionnalité d’activation de la webcam, c’était “une idée commune”. “On avait réfléchi à comment on pouvait gagner plus d’argent, par exemple en piégeant des pédophiles”, détaille Jordan. “Les mots-clés n’ont aucun rapport avec la pédophilie”, s’étonne la magistrate. “Les personnes qui regardent ce genre de contenus tapent ‘adolescentes’ ou ‘jeunes’, ils ne vont pas taper sur leur clavier directement le mot pédophile”, rétorque Jordan. Une affirmation mise à mal un peu plus tard par l’affichage de la liste des mots clés codés dans le malware: le mot jeune y figure bien, mais parmi une trentaine d’autres mots à connotation sexuelle et de sites pornographiques.