AlphaBay est un site decommerce électronique sur ledark web fonctionnant à la fois comme un service en oignon sur leréseau Tor et comme un nœudI2P surI2P. Après avoir été fermé en juillet 2017 à la suite de mesures d'application de la loi auxÉtats-Unis, auCanada et enThaïlande dans le cadre de l'opération Bayonet. Il a été relancé en août 2021 par l'autodésigné cofondateur et administrateur de sécurité DeSnake[1],[2],[3].
Le fondateur présumé du site,Alexandre Cazes, citoyenquébécois né le 19 octobre 1991[4],[5], a été retrouvé mort dans sa cellule enThaïlande plusieurs jours après son arrestation, la police soupçonnant un suicide pour se soustraire à la peine de prison à perpétuité sans possibilité de libération qui l'attendait aux États-Unis après son extradition[6],[7],[8],[9].
AlphaBay aurait été annoncé en septembre 2014[4], prélancé en novembre 2014 et officiellement lancé le 22 décembre 2014. Il a connu une croissance régulière, avec 14 000 nouveaux utilisateurs au cours des 90 premiers jours d'activité. Le site d'information sur ledarknet Gwern.net a placé le marché AlphaBay dans le peloton de tête des marchés concernant la probabilité de survie à 6 mois et, effectivement, il a survécu[10]. En octobre 2015, il a été reconnu comme le plus grand marché en ligne du darknet selon Dan Palumbo, directeur de recherche deDigital Citizens Alliance(en)[11].
En mai 2015, le site a annoncé la mise en place d'un système numérique intégré de contrats et dedépôt fiduciaire[12], qui permet aux utilisateurs de définir leurs engagements dans la transaction actuelle ou dans de futures transactions. En cas de dispute, Alphabay agit commemédiateur. Les contrats permettent d'établir la réputation des intervenants en leur donnant une cote qui est visible aux autres partenaires potentiels[13].
En octobre 2015, AlphaBay comptait plus de 200 000 utilisateurs[14].
Au moment de sa disparition en juillet 2017, AlphaBay comptait plus de 400 000 utilisateurs[14].
AlphaBay s'est démarqué dans le monde des marchés darknet en acceptant une autrecryptomonnaie que leBitcoin. En effet, le support de la cryptomonnaieMonero, supposément plus anonyme, a été introduit en août 2016[15].
En avril 2016, l'API d'AlphaBay a été compromise, entraînant le vol de 13 000 messages[16].
En janvier 2017, l'API a de nouveau été compromise, permettant la fuite de plus de 200 000 messages privés des 30 derniers jours et d'une liste de noms d'utilisateurs. L'attaque provenait d'un seulpirate à qui AlphaBay a payé unerançon. AlphaBay a déclaré que l'exploit n'avait été utilisé que dans le cadre de cette attaque et n'avait pas été utilisé auparavant[17].
Le 28 mars 2015, AlphaBay a fait la une des journaux pour avoir vendu des comptesUber volés[18],[19]. Uber a fait une déclaration concernant une éventuelle violation de données :
« Nous avons enquêté et n'avons trouvé aucune preuve d'une violation. Toute tentative d'accès frauduleux ou de vente de comptes est illégale et nous avons informé les autorités de cette situation. C'est une bonne occasion de rappeler aux gens d'utiliser desnoms d'utilisateur et desmots de passe forts et d'éviter de réutiliser les mêmes informations d'identification sur plusieurs sites et services. »
En octobre 2015, la société de télécommunications londonienneTalkTalk a subi un importantpiratage[20]. Les données volées ont été mises en vente sur le marché AlphaBay, ce qui a conduit à l'arrestation d'un jeune garçon de 15 ans[21].
En août 2017, AlphaBay a été mentionné comme un lieu possible où un des auteurs desalertes à la bombe de centres communautaires juifs de 2017(en) a pu vendre unservice d'alerte à la bombe par courriel. Cet individu, Michael Kadar, a fait 245 appels à la bombe à des écoles et des centres communautaires. Selon lecriminologue David Decary-Hetu, cet événement est remarquable, car il constitue le premier exemple de vente de services criminels sur un marché noir[22].
En juillet 2017, AlphaBay était dix fois plus grand que son prédécesseurSilk Road[23] (qui a été démantelé en octobre 2013), comptait plus de 369 000 inscriptions[4] et 400 000 utilisateurs[14], facilitait 600 000 à 800 000 dollars de transactions par jour[24] et s'était forgé une solide réputation[4]>,[25].
Une série d'erreurs de sécurité élémentaires a entraîné sa chute :
Au moment où AlphaBay a démarré, en décembre 2014, Alexandre Cazes a utilisé sonadresse électroniqueHotmailpimp_alex_91@hotmail.com comme adresse de l'expéditeur dans les courriels de bienvenue et les courriels de réinitialisation de mot de passe générés par le site. Il avait également utilisé la même adresse pour son profilLinkedIn et son entreprise légitime de réparation d'ordinateurs au Canada[4].
Pour gérer le site, il a utilisé lepseudonyme Alpha02 qu'il avait déjà utilisé auparavant (par exemple, dans des forums decarding(en) et de technologie) depuis au moins 2008, et présenté cette identité à plusieurs reprises comme étant le concepteur, l'administrateur et le propriétaire du site[4],[26].
Lorsqu'il a été arrêté, il utilisait sonordinateur portable pourredémarrer unserveur d'AlphaBay en réponse à une défaillance du système causée par les forces de l'ordre ; en outre, lechiffrement était totalement absent de cet ordinateur portable[4],[27].
Son ordinateur portable contenait une liste de tous ses actifs dans de multiples juridictions, ce qui a conduit la police à une saisie complète de ses actifs[4].
Les serveurs d'AlphaBay étaient hébergés par une société au Canada directement liée à sa personne[4].
Les serveurs contenaient plusieurs portefeuilles de cryptomonnaies non cryptés constamment ouverts[4].
Le fait qu'il ait utilisé ses revenus provenant d'AlphaBay pour acheter des biens immobiliers et des voitures de luxe et qu'il se soit fréquemment vanté en ligne de ses succès financiers, y compris en publiant des vidéos de lui conduisant des voitures de luxe, a non seulement révélé son emplacement géographique, mais l'a aussi empêché de nier son association à AlphaBay[4].
Les actifs acquis grâce à AlphaBay étaient détenus dans une variété de comptes directement liés à sa personne, à sa femme et aux sociétés que lui et sa femme possédaient enThaïlande (la juridiction dans laquelle ils vivaient), ainsi que dans des comptes personnels directement détenus auLiechtenstein, àChypre, enSuisse et àAntigua[4].
Ses déclarations sur l'objectif du site - « lancé en septembre 2014 et son but est de devenir le plus grand marché darkweb de typeeBay » - ont contribué à établir légalement son intention[4].
Les forces de l'ordre ont mis au moins un mois pour obtenir un mandat américain, puis plus d'un mois pour obtenir des mandats étrangers, préparer et exécuter des perquisitions et des saisies au Canada et en Thaïlande[4] :
Début de mai 2017 : Les forces de l'ordre sont actives sur le site de manière vérifiable depuis au moins ce moment[4].
1er juin 2017 : Mandat émis par le tribunal de district des États-Unis pour le district Est de la Californie pourracket,trafic de stupéfiants,vol d'identité et fraude aux dispositifs d'accès, transfert de fausse identité, trafic de matériel de fabrication de dispositifs illégaux et complot pourblanchiment d'argent[4].
30 juin 2017 : Un mandat d'arrêt est émis pour Cazes en Thaïlande à la demande des États-Unis[28],[29].
5 juillet 2017
La police canadienne effectue une descente chezEBX Technologies àMontréal, la société canadienne de Cazes et le lieu déclaré des serveurs, ainsi que dans deux propriétés résidentielles àTrois-Rivières[30].
12 juillet 2017 : Le suicide présumé de Cazes parpendaison lors de sa détention au siège du Bureau thaïlandais de répression des stupéfiants dans le district de Laksi, à Bangkok. Il faisait l'objet d'uneextradition américaine[4],[28] et la peine probable pour ses crimes était l'emprisonnement à vie sans possibilité de libération.
Le 8 août 2021, AlphaBay était de nouveau en ligne[35]. Les détails de la nouvelle opération ont fait surface lors d'une conversation entre le magazine detechnologies émergentesWired et un utilisateur possédant la mêmeclé publique qu'un ancienadministrateur du site AlphaBay. Utilisant l'alias DeSnake, l'ancien vendeur et cofondateur autoproclamé de l'AlphaBay original prétend maintenant exploiter la place de marché, en mettant davantage l'accent sur la sécurité que l'administration précédente[1].
Dans le cadre de la relance du site, de multiples nouvelles fonctionnalités et de nouvelles règles ont été annoncées. Parmi les nouvelles fonctionnalités, on peut citerAlphaGuard (qui protège les fonds des utilisateurs même si des saisies ont lieu en même temps sur tous lesserveurs), un système automatique de résolution des conflits entre acheteurs et vendeurs, l'utilisation exclusive des portefeuillesMonero et l'offre de miroirsI2P[1].
En ce qui concerne les règles, les articles nouvellement interdits à la vente comprennent lesvaccins contre la CoVID-19, lesarmes à feu, les produits contenant lenarcotiquefentanyl, lapornographie et les services detueurs à gages. En outre, il est interdit de discuter de toute information publique ou privée liée aux gouvernements, organisations ou personnes deRussie, deBiélorussie, duKazakhstan, d'Arménie et duKirghizistan[36], ce qui a donné lieu à des spéculations sur l'existence d'un lien entre les opérateurs du site et les gouvernements de ces pays[1].
