Le procès des deux jeunes français de 25 ans poursuivis pour extorsion, piratages informatiques et blanchiment dans l’affaire de l’arnaque au crypto-porno, ouvert lundi devant la 13e chambre correctionnelle de Paris, vient de se terminer ce mercredi 27 septembre. Le parquet a requis contre Augustin I. et Jordan R. des peines de 4 ans et de 3 ans et demi d’emprisonnement, assorties d’un sursis probatoire de trois ans.
Les deux prévenus étaient jugés pour des extorsions brodant autour de la pornographie et du piratage. Au cours du premier semestre de l’année 2019, des millions d’internautes avaient reçu ces messages malveillants menaçant de divulguer à des tiers des prétendus enregistrements de consultations de sites pornographiques, sauf en cas de remise d’une rançon tournant en moyenne aux alentours de 500 euros.
Autant de spams envoyés par l’intermédiaire de Varenyky – une référence à des sortes de raviolis traditionnels ukrainiens -, un malware maison qui avait permis la création d’un réseau de machines infectées. « Augustin I., c’est le créateur du virus, il est donc à l’initiative de cela », signale la substitute du procureur Audrey Gerbaud pour justifier ses réquisitions plus lourdes. Mais les deux mis en cause, qui se sont brouillés depuis, ont toutefois des responsabilités partagées, poursuit la magistrate du parquet. Avec une « organisation certaine », ils ont géré ensemble le botnet, lancé les campagnes malveillantes et blanchi les sommes récoltées.
« Ils n’ont pas inventé la sextorsion »
« Personne ne prétend qu’ils ont inventé la sextorsion, précise la magistrate. Mais ce sont eux qui ont généralisé ce mode opératoire en France. » Le duo aurait ainsi suscité des vocations avec leur juteuse campagne. A l’issue du procès, leurs bénéfices restent toujours incertains. Les deux prévenus ont admis devant les magistrats des gains financiers aux alentours de 150 000 euros. Lors de l’instruction, c’était plutôt des « centaines de milliers d’euros ». Les enquêteurs avaient enfin estimé le volume financier total ayant circulé sur les wallet liés au crypto-porno à 1,3 million d’euros, un butin impliquant visiblement d’autres pirates informatiques.
Devant les juges, Dominique, l’une des victimes, s’est souvenue de la réception du message de crypto-porno. “Quand j’ai reçu ce mail, j’étais extrêmement choquée, raconte cette sexagénaire qui a aussitôt déposé plainte, en colère. On me disait que j’avais des goûts particuliers en matière de pornographie, qu’on avait pris le contrôle de mon ordinateur à distance et qu’on me verrait en train de faire des choses. Je craignais surtout un montage: le message disait que si je ne payais pas dans les 48 heures, des photos seraient envoyées à mes contacts.”
Identification des victimes
Ces campagnes massives ont, relève la substitute du procureur, compliqué l’identification des internautes visés. « Une des difficultés de l’instruction judiciaire, c’est la volumétrie des victimes » de ce malware conçu pour « toucher un maximum de personnes », juge-t-elle. Ainsi, si de nouvelles plaintes ont été enregistrées après l’ouverture de l’enquête, l’accusation a peiné à établir des liens entre les différents mails et les prévenus. Au final, les 21609 signalements reçus par le ministère de l’Intérieur ont permis d’enregistrer 1300 plaintes, qui se sont soldées par 149 constitutions de partie civile à l’audience.
Mais à cause d’un avis aux victimes envoyé de manière trop large avant le procès, plusieurs personnes se sont présentées au tribunal pour y être éconduites, la faute à des mails reçus en dehors de la période des faits retenus. Ce périmètre, de janvier à juin 2019, a été jugé “hasardeux » par des parties civiles. Des victimes ayant reçu des messages de menace en anglais ont enfin estimé qu’ils devaient également être mis au débit des prévenus. « Ils sont tous deux bilingues, plusieurs versions de ces mails ont existé, notamment en langue japonaise », tandis que les modes opératoires étaient les mêmes, résume Camille Tardé, l’avocate d’une internaute.
Un chantage plutôt qu’un extorsion
Si pour les parties civiles le champ de la prévention est trop restrictif, pour la défense il est trop flou. Les avocats des prévenus ont ainsi demandé la relaxe à cause d’imprécisions sur l’identité des victimes dans la prévention. “Si vous ne savez pas à quelles victimes il faut imputer les faits, vous serez bien en peine de les condamner”, résume Me Jean-Laurent Panier, l’avocat d’Augustin I.. « Le dossier fait pschitt, le travail d’enquête et d’investigation n’a pas été fait suffisamment », assure son confrère Guillaume Halbique pour Jordan R.
Les deux juristes ont ensuite contesté les accusations d’extorsion. Pour eux, les messages malveillants relevaient davantage du chantage, un délit réprimé moins sévèrement. Le parquet avait vu dans les longs courriers envoyés aux victimes « une contrainte morale caractéristique de l’extorsion ». Les mails jouaient sur les stéréotypes liés aux hackeurs, forcément capables de prendre un contrôle total sur n’importe quelle machine. « Mais comment imaginer qu’il y a une force irrésistible, la définition de la contrainte dans le code pénal, si 95% des victimes n’ont pas payé? », s’interroge Guillaume Halbique. Le jugement a été mis en délibéré au 2 novembre prochain.