Un pirate français présumé de vol de crypto-actifs interpellé

Posted On 01 Fév 2025

Tag: bad hackers, Coinrail, GateHub, ofac, raoult, Shiny Hunters, zac

La police française met la main sur un individu soupçonné d’être l’un des auteurs du piratage de l’exchange Coinrail en 2018. Cette arrestation intervient après six ans d’investigation et une traque internationale mobilisant plusieurs pays. Une affaire qui voit resortir de l’ombre le groupe de bad hackers ShinyHunters ?

Début juin 2018, une cyberattaque retentissante frappe la Corée du Sud. Coinrail, une plateforme d’échange de cryptomonnaies, subit une « cyber-intrusion » entraînant la perte de 45 milliards de wons (35,5 millions d’euros), principalement en NPXS, ATX, DENT et TRON (des cryptomonnaies). Pendant plusieurs jours, le site reste en maintenance. La société Pundi X, responsable de NPXS, décide de bloquer toutes les transactions pour protéger ses utilisateurs. Le 11 juin 2018, le quotidien sud-coréen Chosun révèle que plusieurs banques locales avaient détecté, dès février 2018, des transactions suspectes sur Coinrail, possiblement liées à des opérations de blanchiment d’argent.

Certaines banques avaient même cessé leurs dépôts en avril 2018. L’occasion pour les banques locales de mettre en action la réglementation sud-coréenne. Dès janvier 2018, les banques refusent les transactions avec des exchanges ne pratiquant pas une politique stricte de KYC, comme connaitre les identités exactes des clients.

Une arrestation clé pour la justice française

Le 28 janvier 2025, la police française arrête un bad hacker présumé de 24 ans dans un aéroport français, alors qu’il rentrait de Saint-Barthélemy. Trois jours plus tard, il est mis en examen pour « vol en bande organisée, blanchiment en bande organisée et atteinte à un système de traitement automatisé de données« . Ce suspect vivait dans le sud de la France et était surveillé depuis trois ans par l’OFAC (Office central de lutte contre la cybercriminalité).

« Le jour du vol, ce sont 26 millions d’euros qui avaient été dérobés, mais avec la flambée des cryptomonnaies, nous sommes aujourd’hui à un préjudice de 210 millions d’euros. » Johanna Brousse, vice-procureure et cheffe de la section cyber du parquet de Paris, en charge de l’enquête.

Lors des perquisitions, les enquêteurs saisissent plusieurs objets de luxe, dont une voiture estimée à 700 000 euros, une montre d’une valeur de 80 000 euros et des sommes importantes sur ses comptes bancaires. L’enquête révèle également que ce suspect aurait mené un train de vie dispendieux, rendant son identification plus facile aux forces de l’ordre.

Connexions avec d’autres cyberattaques majeures

L’affaire Coinrail n’est pas un cas isolé. En 2021, le nom du suspect apparaît dans une autre enquête, concernant cette fois-ci le piratage de la plateforme GateHub, spécialisée dans le XRP Ledger. En juin 2019, des pirates exploitent une faille de sécurité affectant le système d’authentification et les API de la plateforme, siphonnant environ 8,3 millions d’euros.

Le plus – fou – dans ces deux affaires, l’apparition du nom du groupe de pirates « Shiny Hunters« .

Le 6 juin 2019, une photo commence à circuler : on y voit un homme posant avec une Porsche 911 GT3 RS (d’une valeur de plus de 200 000 euros). Il s’agit de Gabriel Bildstein, alias « Kuroi« , « Kuroi’SH » ou encore « Gnostic Players » et « Nclay », identifié comme l’un des auteurs du piratage de GateHub. Environ 18 473 comptes ont été compromis, et 200 portefeuilles XRP ont été vidés. ZATAZ vous expliquait à l’époque que les pirates avaient mis la main sur les adresses électroniques, les mots de passe hachés, les clés de récupération hachées, les clés secrètes de portefeuilles XRP cryptés et les identités des propriétaires.

Du hack de génie ? Vraiment pas ! Des identifiants de connexion d’un employé. Les enquêteurs avaient saisi, une Porsche 911 (voir plus bas), deux Lamborghini et une Mercedes. Six millions d’euros avaient aussi été récupérées par les policiers de l’ex Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

L’enquête sur GateHub révèle également l’implication d’autres hackers liés au groupe ShinyHunters, dont Abdel-Hakim El Ahmadi, alias « Zac » ou « Jordan Keso », et Sébastien Raoult, arrêté au Maroc en 2022 avant d’être extradé aux États-Unis. Raoult risquait jusqu’à 116 ans de prison, mais sa peine a finalement été réduite avant son retour en France. A l’atterrissage de son avion, la police l’attendait.

Quant à Gabriel Bildstein, il est mis en examen en juillet 2020 par le parquet de Paris. Il sera interrogé en mai 2022 par des agents de la FBI Seattle Cyber Task Force, à Tarbes. Il ne peut être jugé. Il lui a été reconnu une forme d’Asperger. Impliqué dans le casse 2.0 de GateHub, il s’était fait connaître aprés le « piratage » du clip « Despacito » sur YouTube et Vevo (avec Nassim K., alias Prosox) un an auparavant. Le piratage consistant à effacer la vidéo des plateformes vidéo. Prosox était aussi connu de la justice française. Il avait été condamné à de la prison avec sursit aprés le piratage d’un site du Ministère de la Justice en 2018. Plusieurs centaines d’identifiants de connexion avaient été dérobées.

Lors des perquisitions liées à l’affaire GateHub, les enquêteurs saisissent plusieurs véhicules de luxe : la fameuse Porsche 911 GT3 RS, deux Lamborghini et une Mercedes. Six millions d’euros en actifs numériques sont récupérés par l’ancien Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Le 30 août 2021, GateHub indiquait qu’une procédure pénale était en cours devant le Tribunal Judiciaire de Paris pour identifier et établir la responsabilité des auteurs présumés de sa cyberattaque. Dans ce cadre, le 17 mars 2021, l’AGRASC (Agence française pour le recouvrement et la gestion des avoirs) vend aux enchères 611 bitcoins, via 478 lots, initialement saisis sous forme de XRP appartenant à certains des suspects. Le ministre français des Finances avait déclaré que cette vente permettrait de récolter 24 694 724€. L’une des ventes, 0,11BTC (valeur 5 000€ à l’époque) partira pour… 25 713€ !

Si la culpabilité de ces pirates présumés est reconnue, une partie ou la totalité des sommes issues de cette vente doit être versée à un fonds d’indemnisation, destiné à compenser les victimes dont les fonds ont été retirés de leur portefeuille lors de la cyberattaque. Pour cela les victimes devaient impérativement se joindre à la procédure pénale française, de préférence avant la clôture de la phase d’enquête initiale.

Dans ces deux affaires, les magistrats et les policiers de l’OFAC font rapidement le lien. « Ce qu’il s’est passé, c’est que nous n’avions pas découvert où se trouvait l’argent dérobé. Nous avons donc mis les auteurs présumés sous surveillance pour voir si leur train de vie changeait. On a découvert qu’un d’eux avait tout d’un coup un train de vie dispendieux« , explique Johanna Brousse. Il faut dire aussi que rouler dans une voiture à 700 000€ ce n’est pas discret !

« La recette pour lutter contre la criminalité organisée est simple : du temps, des moyens humains et techniques, et beaucoup de pugnacité. » OFAC

En janvier 2025, après trois ans d’investigations menées du Maroc à la Corée du Sud, en passant par les Émirats arabes unis et Monaco, la police française de l’OFAC a interpellé ce jeune homme. Une mise en examen suit pour « vol en bande organisée, blanchiment en bande organisée et atteintes à un système de traitement automatisé de données« .

Le parquet a demandé son placement en détention provisoire aprés sa garde à vue. Le piratage de CoinRail aurait rapporté 40 millions d’euros aux cybercriminels, montant équivalent à 200 millions d’euros aujourd’hui. Comme l’a indiqué l’OFAC sur LinkedIn, la « recette » pour lutter contre la criminalité organisée : la recette pour lutter contre la criminalité organisée est simple : du temps, des moyens humains et techniques et beaucoup de pugnacité. Les enquêteurs du Maroc, des Émirats arabes unis, de Monaco et de la Corée du Sud ont participé à l’opération. À noter qu’un suspect a même été entendu par le parquet de Paris dans un champ de tomates, à 2 000 km de la capitale, entre pain traditionnel et thé local.

Abonnez-vous gratuitement à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.