•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Canadian HQ, un darknet bien de chez nous
Radio-Canada

Texte : Simon Coutu Illustrations : Emilie Robert

Des services de pourriels, des trousses d’hameçonnage, des identifiants bancaires volés, des accès à des ordinateurs compromis, de la drogue… Si c’est illégal, il y a de bonnes chances que ça se trouvait sur le site de Canadian Headquarters. Jusqu'à ce qu’une enquête du Conseil de la radiodiffusion et des télécommunications du Canada (CRTC) ferme ce marché clandestin.

La frappe du CRTC se soldera par des amendes pour trois vendeurs et quelques mois de prison pour l’administrateur du site. Aucune accusation ne sera portée pour avoir créé et animé l'un des plus grands marchés du darknet. Les quatre hommes seront réprimandés pour avoir envoyé des pourriels afin d’obtenir des données personnelles, comme des numéros de carte de crédit et des identifiants bancaires.

Créée en octobre 2018 par un internaute surnommé Poseidon, la plateforme fonctionnait de la même manière qu’eBay, mais de façon anonyme sur le fureteur Tor (The Onion Router), et le tout se négociait avec les cryptomonnaies Bitcoin et Monero.

Soyez en sécurité et commandez en ligne, pouvait-on lire sur la page d’accueil, on ne peut plus sobre, agrémentée d’un unifolié dans le coin gauche, sur fond blanc. Faites-vous respecter et respectez les autres. Votre rêve canadien commence ici. Nous nous battons pour votre liberté. Jusqu’au dernier homme debout. L’honneur et l’intégrité sont éternels.

Rien de moins.

En plus d’administrer Canadian Headquarters, Poseidon y a publié 282 annonces sur une période d'environ deux ans, dont une portant sur une méthode permettant de contourner la double vérification de l'Agence du revenu du Canada, vendue pour la jolie somme de 22 606 $.

On trouve des dizaines de sites du genre sur le darknet qui attirent des utilisateurs de partout dans le monde à la recherche d’articles illégaux. Ces plateformes ont toutes plus ou moins de succès, selon le niveau de confiance des acheteurs. La particularité de Canadian Headquarters était de s’adresser spécifiquement aux Canadiens.

À l’automne 2020, le site est devenu l’un des dix plus gros marchés du darknet, et le plus important pour la vente de données dédiées aux fraudeurs, selon l’entreprise montréalaise spécialisée en cybersécurité Flare Systems. Et ce, malgré le caractère strictement canadien du marché. À son apogée, on y compte plus de 105 000 annonces.

La jeune pousse, située dans une ancienne usine d’appareils électroniques du quartier Pointe-Saint-Charles à Montréal, surveille le darknet depuis 2017. Elle alerte les entreprises susceptibles d’être la cible de vols de données ou de fraudes, principalement des institutions financières. Ses employés avaient Canadian Headquarters à l'œil depuis ses débuts sur le web clandestin.

Du fait qu’il s’adressait aux Canadiens, c’était une mine d'informations pour mieux comprendre les menaces qui ciblaient nos clients, affirme le professeur en criminologie à l’Université de Montréal David Décary-Hétu, anciennement directeur de la recherche chez Flare System. On peut penser que les marchés du darknet sont internationaux, mais il existe des plateformes semblables pour les Italiens, les Russes, les Français et les Allemands.

Dans son laboratoire informatique, le chercheur au visage angélique et à la barbe de trois jours écume certains des recoins les plus sombres du web profond avec ses étudiants. Des affiches à l’image de certains des plus grands pirates informatiques, dont Kevin Mitnick ou Ross Ulbricht, décorent le local.

La position de leader dans le domaine de la fraude qu’occupait Canadian Headquarters sur le darknet démontre l’ampleur de ce type de crime au Canada, observe David Décary-Hétu. C’est excessivement développé au Québec, principalement dans les régions de Montréal et Laval, ajoute le chercheur. On est LE hub de la fraude au pays.

C’est d’ailleurs en écumant le site pour y récolter de l’information qu’un employé de Flare Systems dénichera la petite erreur commise par le créateur de Canadian Headquarters qui mènera à la fermeture du marché par les autorités canadiennes.

Tous les cybercriminels font des erreurs

Sur chaque profil de vendeurs et d’administrateurs du Canadian Headquarters s’affiche une clé PGP (Pretty Good Privacy) publique, qui permet de confirmer l’identité d’un individu et de s’assurer que la police n’est pas derrière un compte, notamment.

Ce système de signatures uniques créé en 1991 sert principalement à envoyer des messages cryptés et prend la forme d’une longue suite de chiffres, de lettres et de symboles.

Toutefois, cette clé est généralement associée à une adresse courriel. C’est en analysant les signatures cryptographiques de vendeurs de Canadian Headquarters que les chercheurs de Flare System ont été en mesure de démasquer quatre trafiquants, dont l’administrateur du site, Poseidon. Tous avaient laissé leur réelle adresse courriel dans leur clé PGP.

C’est une erreur de débutant, lance le directeur des nouvelles technologies et cofondateur de Flare Systems, Mathieu Lavoie. C’est élémentaire de ne jamais laisser de vraies informations dans une clé PGP. À moins que tu veuilles en faire une utilisation légitime.

Trahi par une adresse Internet.

Avec sa chemise carreautée bien rangée dans le pantalon et ses lunettes rondes, le jeune entrepreneur se fondrait dans le paysage de la Silicon Valley. Il transmet ces informations au CRTC. C’est ce qui permet de mettre en branle une vaste enquête qui mènera à l’identification et à l’arrestation de quatre individus.

Après avoir accepté dans un premier temps de nous accorder une entrevue avec les enquêteurs responsables du dossier, l’agence canadienne a plutôt décidé de nous faire parvenir un résumé de l’enquête.

Ironiquement, Ross Ulbricht, le fondateur de Silk Road, premier marché du darknet à voir le jour en 2011, s’est aussi fait prendre par le FBI après avoir publié une adresse courriel personnelle sur un forum d’Internet, alors qu’il venait tout juste de lancer le fameux site.

Alexandre Cazes, un Trifluvien derrière Alphabay, le plus gros marché du darknet à avoir vu le jour, s’est aussi fait prendre en 2017 en raison de son adresse personnelle Hotmail inscrite dans les métadonnées d’un message envoyé aux utilisateurs pour réinitialiser un mot de passe. Même si l’erreur ne restera en ligne que quelques jours, elle sera fatale pour le Québécois expatrié en Thaïlande.

Les cybercriminels font tous des erreurs, avance David Décary-Hétu. Ils laissent des traces partout. Et Internet se souvient des moments où ils étaient moins alertes.

Une loi antipourriel efficace

En juin 2021, la Gendarmerie royale du Canada se rend à la résidence de Poseidon, maintenant identifié comme étant Chris Tyrone Dracos, un Lavallois âgé de 22 ans. Ils saisissent le disque dur de l’ordinateur du cybercriminel et peuvent ainsi formellement établir qu’il est l’administrateur de Canadian Headquarters.

En plus de gérer le site, il vendait aussi des méthodes d’hameçonnage, dont le Best Interac Page 2019 phishing kit. Les autorités ont aussi trouvé des données personnelles volées ainsi que des preuves démontrant qu’il avait créé de fausses pages web dans le but de frauder.

Du coup, le CRTC fait tomber Canadian Headquarters. Un message d’erreur s'affiche maintenant à l’écran des utilisateurs qui tentent d’y accéder.

Le conseil saisira aussi des cartes SIM, des cartes de crédit, des téléphones portables, des ordinateurs, des disques durs et des clés USB chez trois autres vendeurs de la plateforme : Marc Anthony Younes, (alias CASHOUT00 et Masteratm), Souial Amarak (alias Wealtyman et Supreme) et Moustapha Sabir (alias La3sa).

Marc Anthony Younes a enregistré environ 150 domaines malveillants, dont plusieurs ont tiré profit de la pandémie de COVID-19 en utilisant des termes tels que prestationqc-interac et prestation-canadienne-urgenceqc. Il a utilisé ces sites Internet pour envoyer au moins 18 000 textos frauduleux dans le but d’hameçonner des victimes potentielles.

L’enquête du CRTC a aussi démontré que Souial Amarak a envoyé plus de 120 000 SMS frauduleux. Ces messages textes malveillants seront familiers à de nombreux Canadiens, car ils demandaient généralement que les informations de compte soient validées ou réinitialisées, ou suggéraient l'existence de factures, de remboursements, de récompenses ou d'autres avantages de marques bien connues et d'institutions gouvernementales, peut-on lire dans le résumé de l'enquête du CRTC.

Quant à Moustapha Sabir, il a publié 76 annonces sur le marché clandestin. Il y vendait des données personnelles bancaires et des numéros de cartes de crédit hameçonnées. En utilisant 69 cartes SIM, il a lui aussi envoyé plus de 10 000 SMS frauduleux.

Pris la main dans le sac.

C’est la Loi canadienne antipourriel qui permettra de fermer ce marché de la fraude et de la drogue. Poseidon, à titre de créateur et d’administrateur du marché, est contraint de payer une amende de 150 000 $, alors que la sanction pour les trois autres s’élève à 50 000 $. Marc Anthony Younes sera finalement le seul à verser la totalité du montant, puisque les autres accepteront de collaborer avec les autorités.

Chris Tyrone Dracos sera le seul à être inculpé au criminel par la GRC en lien avec des crimes commis sur Canadian Headquarters depuis 2018, malgré toutes les preuves amassées par le CRTC. Il est accusé d’utilisation non autorisée d’ordinateur, de posséder un dispositif permettant de le faire et d’avoir conseillé à des gens de commettre des crimes.

Au moment d’être arrêté, l’administrateur de Canadian Headquarters se trouvait déjà derrière les barreaux pour une autre affaire d’arme à feu survenue à Laval le 29 août 2021. Il avait alors tiré sur un véhicule, et un homme de 20 ans avait été blessé. Il a plaidé coupable à une accusation de possession d’arme à feu prohibée et purge une peine de près de trois ans.

En mars 2022, il a reçu une peine additionnelle d’emprisonnement de 90 jours pour les infractions commises dans le dossier de Canadian Headquarters.

Cancre des cyberenquêtes

Aux États-Unis, les administrateurs de marché illicites du darknet qui se font épingler écopent de peines beaucoup plus sévères. Par exemple, en 2016, un modérateur du site Alphabay a reçu une peine de 11 ans pour s’être engagé dans une organisation corrompue influencée par le racket.

Le fondateur de Silk Road, Ross Ulbricht, a été accusé en 2014 de blanchiment d'argent, de complot en vue de commettre un piratage informatique et de complot en vue de faire le trafic de stupéfiants. Il purge présentement deux peines à perpétuité, plus de quarante ans, sans possibilité de libération conditionnelle.

Canadian Headquarters a fait trembler les grandes institutions financières pendant des années et la police n’a absolument rien fait, déplore David Décary-Hétu. Ça a pris le CRTC pour que les choses bougent. Finalement, Poseidon n’a pas été accusé d’être l’administrateur d’un des plus grands marchés illégaux, mais d’avoir fait du hacking.

Selon le professeur de criminologie, le darknet et la fraude en ligne ne sont tout simplement pas une priorité pour les autorités canadiennes. La majorité, si ce n’est pas la totalité, des ressources sont investies dans la pornographie juvénile et à retracer les personnes disparues. Il ne reste pratiquement plus de ressources pour s’attaquer à la fraude en ligne. Les gens ne portent pas plainte et les banques remboursent les victimes. On passe ça sous le tapis.

Un policier de la grande région de Montréal, qui traite de nombreux cas de fraudes, confirme les propos du chercheur. Jusqu’à l’année dernière, il trouvait d’ailleurs régulièrement des identités achetées sur Canadian Headquarters dans les appareils électroniques saisis aux fraudeurs arrêtés. La SQ et la GRC ne font rien, dit l’agent qui a demandé l’anonymat par crainte de représailles de la part de son employeur. Je ne leur transmets même plus d’informations tellement ils sont dépassés par les événements.

Il estime qu’à Montréal, de 40 % à 50 % des dossiers en cours concernent des fraudes de toutes sortes. Étant considérés comme non violents, ils ne sont pas priorisés. Le manque de ressources a comme effet de laisser libre cours aux malfaiteurs.

Évidemment, on n’a pas le choix de traiter les cas de violence conjugale ou de violences contre la personne en premier. Un braquage avec une arme, le risque est énorme et le criminel va écoper de quatre ans de prison minimum. Les fraudeurs que j’arrête font souvent plus en une journée que ce qui se trouverait dans la caisse enregistreuse d’un dépanneur et je te garantis qu’ils ne passeront pas six mois derrière les barreaux.

La Sûreté du Québec réfute ces affirmations selon lesquelles les autorités policières n’en font pas assez pour contrer la fraude en ligne. C'est certain qu'on va prioriser la santé d'une personne et la sécurité du public, affirme le lieutenant Benoît Richard. Mais j'ai des effectifs qui travaillent sur la fraude et qui font des recherches. Toutefois, on a besoin que la victime nous transmette de l'information pour ouvrir une enquête.

Quant à la Gendarmerie royale du Canada, on nous répond qu’en signalant les incidents au Centre antifraude du Canada, on contribue à la collecte de renseignements précieux en matière de fraude qui servent à établir des tendances criminelles, à aider les organismes d’application de la loi qui enquêtent sur les cas de fraudes et à sensibiliser le public. On nous rappelle aussi que le Groupe national de coordination contre la cybercriminalité a été créé en 2019 pour aider à coordonner les enquêtes sur la cybercriminalité auxquelles participent plusieurs administrations policières au Canada et à l’étranger.

David Décary-Hétu admet que le coup de filet du CRTC peut être dissuasif pour les cybercriminels canadiens du darknet. 150 000 $, ça demeure beaucoup d’argent, dit-il. C’est probablement plus efficace qu’une peine d’emprisonnement de six mois. Ceci dit, c’est une mesure efficace pour les contrevenants canadiens. Si on avait affaire à un spammeur russe, ça ne changerait absolument rien.

Son ancien collègue chez Flare Mathieu Lavoie souligne, quant à lui, que l’opération du CRTC a finalement démontré que les autorités canadiennes peuvent intervenir sur le darknet. Le FBI ne s’intéresse pas normalement aux marchés canadiens et les cybercriminels d’ici se croyaient à l'abri. Il y a eu un éveil aux capacités de surveillance canadiennes.

Le jeu du chat et de la souris

Mais les effets de la rafle du CRTC seront de courte durée. Sur le darknet, il suffit que les autorités ferment un site pour qu’un autre voie le jour. Canadian Headquarters est d’ailleurs né des cendres d’Alphabay, quelques mois après le coup de filet du FBI.

Après la fermeture de Canadian Headquarters, la fraude en ligne a ralenti pendant un certain temps, se souvient David Décary-Hétu. Mais les cybercriminels se sont rapidement retournés vers les plateformes de messagerie comme ICQ et Telegram qui demeurent accessibles.

D’ailleurs, le compte Telegram de Canadian HQ est toujours actif au moment d’écrire ces lignes.

Et un mois plus tard, en juillet 2021, WeTheNorth voit le jour. Un nouveau marché destiné exclusivement aux Canadiens qui reprend le célèbre slogan des Raptors de Toronto.

Des prises de courant servent ici à illustrer les réseaux de Canadian Headquarters et WeTheNorth

Depuis la chute de Canadian Headquarters, nous avons travaillé dur pour vous apporter un nouveau marché stable qui garantira la sécurité et l'accessibilité de tous, écrit un certain admin dans un message d’introduction sur le forum de la plateforme daté du 3 juillet 2021. Nous croyons que garder la communauté canadienne soudée et unie est un must.

Pour y entrer, par mesure de sécurité, on demande à l’internaute de répondre à une devinette en lien avec le pays : Quelle est la province qui produit le plus de sirop d’érable? Quel est le prénom de la reine du Canada?

Encore une fois, la plateforme est très sobre et elle est disponible en français et en anglais. On y aperçoit toujours le drapeau canadien et un logo de loup, sur fond blanc. Au moment d’écrire ces lignes, on y trouvait près de 2000 annonces de drogues et plus de 1000 offres en lien avec la fraude.

Contacté par Radio-Canada, l’administrateur indique qu’il ne souhaite pas parler aux médias. Mais libre à toi de me poser des questions en tant que client, écrit-il. La liste de questions envoyées par la suite demeurera sans réponse.

Mais un important vendeur de drogues actif sur le site a toutefois accepté de répondre à nos interrogations, via Dread, un forum spécialisé dans les marchés illicites, accessible à partir du darknet. Il considère que les plateformes canadiennes comme WeTheNorth ou Canadian Headquarters ont un avantage compétitif sur le marché canadien.

Plusieurs vendeurs européens ou américains ne veulent pas prendre le risque d’envoyer des biens par la poste au Canada, observe-t-il. Connaissant notre système, je trouve ça ridicule, mais je comprends le raisonnement. Je souhaiterais en voir ouvrir encore plus pour qu’il y ait une réelle compétition. Chaque pays devrait avoir son propre marché.

Il considère que ces sites sont appelés à prendre encore plus de place alors qu’il est de plus en plus évident que la guerre contre la drogue est un échec. Mais jusque-là, je pense que ces marchés vont continuer à prospérer grâce au marché noir.

S’il était déçu d’apprendre la fermeture de Canadian Headquarters, il n’en était pas surpris pour autant. Même si c’est dommage qu’à chaque fois il faille rebâtir la base d’utilisateurs, franchement, je ne comprends pas pourquoi les autorités ne s’attaquent pas plus rapidement à ces marchés.

Comme dans un jeu du chat et de la souris entre les cybercriminels et les autorités, il y aura toujours un trafiquant pour lancer une nouvelle plateforme. Jusqu’à ce que celui-ci commette l’erreur qui mettra la police à ses trousses… et ainsi de suite.

Partager la page