CyberBunker
CyberBunker était un fournisseur de services Internet situé aux Pays-Bas et enAllemagne qui, selon son site Web, « hébergeait des services pour tout site Web, à l'exception de la pornographie infantile et de tout ce qui touche au terrorisme ». La société a d'abord opéré dans un ancien bunker de l'OTAN en Zélande, d'où elle tire son nom, puis dans un autre ancien bunker de l'OTAN à Traben-Trarbach, en Allemagne. Sven Olaf Kamphuis a fait référence à CyberBunker comme la République de CyberBunker et s'est présenté comme le ministre des Télécommunications et des Affaires étrangères[1],[2].
CyberBunker a servi d'hébergeur Web pour The Pirate Bay et comme l'un des nombreux miroirs de WikiLeaks[3]. CyberBunker a également été accusé d'être un hôte pour les spammeurs, les serveurs de commande et de contrôle de botnet, les logiciels malveillants et les escroqueries en ligne. La société a également été impliquée dans des détournements d'adresses IP du Border Gateway Protocol utilisés par Spamhaus et le ministère de la Défense des États-Unis. Le piratage de Spamhaus faisait partie d'une attaque par déni de service distribué d'une ampleur exceptionnelle lancée contre eux en mars 2013. En raison de l’ampleur de cette attaque, elle a reçu une attention considérable de la part des médias grand public.
En 2013, CyberBunker indiquait que son adresse était celle du bunker, mais l'emplacement des serveurs de CyberBunker n'était pas clair[4].
En septembre 2019, la police allemande a pris d'assaut et fermé les activités de l'entreprise dans son bunker de Traben-Trarbach. Sept suspects ont été arrêtés[5].
Histoire
[modifier | modifier le code]Bunker hollandais (CB-1)
[modifier | modifier le code]En 1995, Herman-Johan Xennt a acheté un bunker de 1900 mètres carrés juste à l'extérieur de la petite ville de Kloetinge dans le sud des Pays-Bas, qui a été construit en 1955 et qui avait été autrefois utilisé par l'OTAN[6],[7]. Le bunker, utilisé à l'origine comme centre de commandement militaire provincial en temps de guerre de l'armée néerlandaise, a été construit pour résister à une attaque nucléaire.
Avec des collaborateurs, Xennt a formé la société CyberBunker au sein du bunker, pour offrir un « hébergement à toute épreuve » de sites Web[6],[7]. Au cours des années 1990, les clients de l'entreprise étaient en grande partie des sites Web pornographiques[6],[7]. Sa politique était d'accepter n'importe quel site Web, à l'exception de ceux liés à la pornographie infantile et au terrorisme[8].
En 2002, un incendie se déclare dans le bunker néerlandais. Après l'extinction de l'incendie, on a découvert qu'en plus des services d'hébergement Internet, un laboratoire de MDMA était en activité[6],[7]. Trois des quatre hommes accusés d'avoir exploité le laboratoire ont été condamnés à des peines de trois ans de prison ; le quatrième a été acquitté en raison d'un manque de preuves. Après l'incendie, la ville locale a refusé à l'entreprise une licence commerciale, ce qui a obligé les serveurs du CyberBunker à être déplacés vers des emplacements en surface, notamment à Amsterdam[6],[9].
Dans sa publicité, la société a continué à affirmer qu'elle opérait à partir du bunker[9]. Le 29 mars 2013, la société de stockage de données sécurisée BunkerInfra a publié un communiqué de presse indiquant qu'elle était propriétaire du bunker de Kloetinge depuis 2010, que toutes les déclarations faites par CyberBunker concernant son utilisation continue du complexe étaient fausses et qu'elle n'opérait plus depuis le bunker depuis l'incendie de 2002. Selon Businessweek, le bunker était « plein de déchets » lorsqu'ils l'ont acquis, et Guido Blaauw, leur directeur général, a déclaré que le matériel publicitaire du CyberBunker était « entièrement Photoshopé »[10].
The Pirate Bay
[modifier | modifier le code]En octobre 2009, le tracker BitTorrent The Pirate Bay, qui avait fait l'objet d'actions en justice de la part de divers groupes anti-piratage, dont l'organisation néerlandaise de défense des droits d'auteur BREIN, a quitté la Suède pour s'installer sur CyberBunker. En 2010, le tribunal de district de Hambourg a décidé que CyberBunker, opérant en Allemagne sous le nom de CB3Rob Ltd & Co KG, n'était plus autorisé à héberger The Pirate Bay, sous peine d'une amende de 250 000 € ou d'une peine d'emprisonnement pouvant aller jusqu'à deux ans pour chaque infraction[11].
Spamhaus
[modifier | modifier le code]En mars 2013, Spamhaus a ajouté CyberBunker à sa liste noire. Peu de temps après, une attaque par déni de service distribué (DDoS) d'une ampleur jamais signalée auparavant (atteignant un pic à 300 Gbit/s ; une attaque moyenne à grande échelle est souvent d'environ 50 Gbit/s, alors que la plus grande attaque connue et rapportée publiquement était de 100 Gbit/s) a été lancé contre les serveurs de messagerie et Web de Spamhaus en utilisant une attaque par amplification du système de noms de domaine (DNS)[12],[13]. L'attaque avait duré plus d'une semaine. Steve Linford, directeur général de Spamhaus, a déclaré que l'entreprise avait résisté à l'attaque. D’autres entreprises, comme Google, ont mis leurs ressources à disposition pour aider à absorber le trafic[13]. L'attaque fait l'objet d'une enquête menée par cinq forces de cyberpolice nationales différentes à travers le monde. Spamhaus a affirmé que Cyberbunker, en coopération avec des « gangs criminels » d'Europe de l'Est et de Russie, était derrière l'attaque ; Cyberbunker n'a pas répondu à la demande de commentaire de la BBC sur cette allégation[13].
Cloudflare, une société de cybersécurité située à San Francisco, en Californie, qui aidait Spamhaus à lutter contre l'attaque DoS, a également été ciblée. Le 28 mars 2013, le site Web de CyberBunker a été mis hors ligne pendant une courte période, devenant peut-être lui-même victime d'une attaque DDoS.
Le 25 avril 2013, Sven Olaf Kamphuis, porte-parole de CyberBunker, a été arrêté à la demande des autorités néerlandaises près de Barcelone par la police espagnole après la collaboration d'Eurojust[14]. Un communiqué de presse anonyme publié sur Pastebin.com le lendemain, exigeant la libération de Kamphuis, menaçait de nouvelles attaques à grande échelle s'il restait en détention. Les autorités espagnoles ont indiqué que Kamphuis opérait depuis un bunker bien équipé et utilisait une camionnette comme bureau informatique mobile. Aucune information supplémentaire sur ce bunker n'a été fournie[15]. En septembre 2013, il a été révélé qu'une deuxième arrestation avait été effectuée en avril en relation avec l'attaque sur Spamhaus, le suspect étant un jeune de 16 ans originaire de Londres. Kamphuis a été détenu pendant 55 jours en attendant son extradition vers les Pays-Bas et a ensuite été reconnu coupable et condamné à 240 jours de prison. Sa peine a été suspendue, avec déduction des 55 jours purgés[16].
Bunker de Traben-Trarbach (CB-3)
[modifier | modifier le code]En 2013, la société a acheté son deuxième bunker à Traben-Trarbach, en Allemagne[6]. Dès 2015, les enquêteurs allemands spécialisés dans la cybercriminalité ont reçu un mandat pour enquêter sur l'entreprise en surveillant son trafic Internet entrant et sortant du bunker[6]. Au cours de cette période, la société aurait compté parmi ses clients les marchés du dark web Wall Street Market, Cannabis Road et Flugsvamp, ainsi que Fraudsters, un forum d'échange de drogues illégales, de fausse monnaie et de fausses pièces d'identité[6],[17]. Le criminel irlandais George Mitchell, qui a vécu quelque temps à Traben-Trarbach[18], a contacté Xennt pour lui proposer de gérer une entreprise de téléphonie cryptée[6]. Le back-end de l'application de messagerie cryptée Exclu a été exécuté sur les serveurs de CyberBunker[19].
En septembre 2019, 600 policiers allemands ont effectué une descente dans le bunker[9]. Sept personnes ont été arrêtées lors du raid[20]. La police a déclaré plus tard que le bunker était le lieu à partir duquel une attaque par déni de service contre Deutsche Telekom avait été lancée fin 2016[20].
En 2021, Xennt et six autres accusés ont été reconnus coupables d’avoir formé une organisation criminelle, mais ont été acquittés d’avoir aidé et encouragé les crimes commis sur leurs serveurs. Ils ont été condamnés à des peines allant de 28 à 59 mois de prison[21].
En décembre 2023, leur site est redevenu actif sous cyberbunker.pro et cyberbunker.world[réf. nécessaire].
Documentaire
[modifier | modifier le code]Le documentaire Netflix Cyberbunker : Les dessous du darknet est sorti en 2023. Il contient des entretiens avec le procureur enquêteur et des policiers, le maire de Traben-Trarbach, des journalistes, Xennt et d'autres membres de son organisation. La police a révélé qu'ils avaient placé un jardinier infiltré et une femme de ménage dans le bunker et qu'ils avaient attiré Xennt et son équipe hors du bunker avant le raid[18].
Notes et références
[modifier | modifier le code]- (en) Stuart S. Brown et Margaret G. Hermann, Transnational Crime and Black Spots: Rethinking Sovereignty and the Global Economy, Springer, (ISBN 978-1-137-49670-6, lire en ligne [archive du ])
- Eric Pfanner, Kevin, « Provocateur Comes Into View After Cyberattack », The New York Times, (lire en ligne [archive du ], consulté le )
- (en-US) « Research », sur Motion Picture Association (consulté le )
- Eric Pfanner, Kevin J., « Provocateur Comes Into View After Cyberattack », The New York Times, (lire en ligne [archive du ], consulté le )
- (de) « Mit 650 Einsatzkräften Cyberbunker in Traben-Trarbach gestürmt » [archive du ], rheinpfalz.de (consulté le )
- (en-US) « The Cold War Bunker That Became Home to a Dark-Web Empire », The New Yorker,
- (nl) « Brein bulletproofhoster Duitsland zat ook achter Cyberbunker » [archive du ], Emerce (consulté le )
- (en) Josephine Wolff, You'll see this message when it is too late: The Legal and Economic Aftermath of Cybersecurity Breaches, MIT Press, , 146 p. (ISBN 978-0-262-03885-0, lire en ligne [archive du ])
- « German police seize “bulletproof” hosting data center in former NATO bunker | Ars Technica », sur web.archive.org, (consulté le )
- Riley, Matlack et Levine, « CyberBunker: Hacking as Performance Art » [archive du ], Businessweek, (consulté le )
- « CyberBunker prohibited from providing internet access to The Pirate Bay » [archive du ], Motion Picture Association of America, (consulté le )
- Gallagher, « How Spamhaus' attackers turned DNS into a weapon of mass destruction » [archive du ], Ars Technica, (consulté le )
- Dave Lee, « Global internet slows after 'biggest attack in history' », BBC News, (lire en ligne [archive du ], consulté le )
- Nicole Perlroth, « Dutch Man Said to Be Held in Powerful Internet Attack », The New York Times, (lire en ligne [archive du ], consulté le )
- The Washington Post / Associated Press - Dutch suspect arrested in Spain over major cyberattack used well-equipped 'bunker' and van« Dutch suspect arrested in Spain over major cyberattack used well-equipped 'bunker' and van »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), - article retrieved 28 April 2013.
- Paganini, « Hacker behind Spamhaus attack will not spend any time in the jail » [archive du ], Security Affairs, (consulté le )
- (en) « Honeypot behind sold-off IP subnet shows Cyberbunker biz hosted all kinds of filth, says SANS Institute » [archive du ], theregister.com (consulté le )
- « Watch Cyberbunker: The Criminal Underworld | Netflix Official Site », sur web.archive.org, (consulté le )
- (en) Vigliarolo, « Eurocops shut down Exclu encrypted messaging app » [archive du ], theregister.com, (consulté le )
- « Germany shuts down illegal data center in former NATO bunker », AP News, (lire en ligne [archive du ], consulté le )
- (de) « Cyberbunker-Betreiber zu Haftstrafen verurteilt » [archive du ], golem.de, (consulté le )
Liens externes
[modifier | modifier le code]