Un trésor numé­rique

De Tokyo — Quand le Français Mark Karpe­lès, le PDG de Mt. Gox, qui fut un jour la plus grande bourse d’échange de bitcoins au monde, a déclaré son entre­prise en faillite après le pira­tage de 850 000 bitcoins (qui valaient envi­ron un demi-milliard de dollars à l’époque) en février 2014, il ne mentait pas tout à fait. Mais il ne disait pas exac­te­ment la vérité non plus. Il dissi­mu­lait un fait étrange, que nous n’avons appris que très récem­ment. Il appa­raît qu’au moins 80 000 bitcoins ont été pira­tés avant même que Karpe­lès ne prenne la tête de l’en­tre­prise, et que ce cyber-braquage initial a enclen­ché une spirale de problèmes qui ont peut-être bien conduit direc­te­ment à l’ef­fon­dre­ment finan­cier de la société.

La semaine dernière, nous avons obtenu des e-mails internes, des contrats, ainsi que d’autres docu­ments rela­tifs à l’im­plo­sion de l’en­tre­prise de Karpe­lès, Mt. Gox. Assor­tis d’in­for­ma­tions four­nies par un ancien employé qui s’oc­cu­pait de la comp­ta­bi­lité de le société, les docu­ments révèlent de nouveaux détails sur les raisons de la faillite de Mt. Gox. D’après l’avo­cat de Karpe­lès, Nobuyasu Ogata, l’un des e-mails en ques­tion a été présenté au tribu­nal comme pièce à convic­tion par la partie civile pour démon­trer que Karpe­lès ne se montrait pas coopé­ra­tif avec ses clients. Le même e-mail, cepen­dant, peut servir à l’in­no­cen­ter pour d’autres chefs d’ac­cu­sa­tion. Mais n’al­lons pas trop vite. Mt. Gox, qui fut un jour la plus grande bourse d’échange de la monnaie élec­tro­nique décen­tra­li­sée, a déposé le bilan pour faillite en février 2014, lorsqu’il s’est avéré que 850 000 bitcoins, alors d’une valeur de 450 millions de dollars, s’étaient vola­ti­li­sés ou bien avaient été déro­bés par des hackers. Mt. Gox a égale­ment fait état de la perte de 27 millions de dollars en espèces.

Le 7 mars 2014, une semaine après les faits, Mt. Gox a déclaré avoir « retrouvé » 200 000 bitcoins dispa­rus, après avoir remis la main sur un vieux porte-feuille égaré. Le 1er janvier 2015, les enquê­teurs de la police métro­po­li­taine de Tokyo ont conclu après leurs inves­ti­ga­tions préli­mi­naires que seuls 1 % des bitcoins manquants (soit 7 000 BTC) l’étaient pour cause de cybe­rat­taques. La police suspecte que les 643 000 autres bitcoins ont été reti­rés des comptes clients par une personne incon­nue. « Je soupçonne que les bitcoins manquants ont été déro­bés par un des employés de l’en­tre­prise », nous avait confié Mark Karpe­lès à l’époque. « J’ai essayé d’en parler à la police, mais ça n’a pas semblé les inté­res­ser. J’ai été aussi coopé­ra­tif que possible durant l’enquête mais j’es­père qu’ils ne me visent pas. Je n’ai rien volé. »

À l’ori­gine, la société a été conçue comme une plate­forme d’échange de cartes à jouer. Non pas de cartes Poké­mon, mais de cartes Magic: The Gathe­ring, un jeu très popu­laire chez les gamins qui ont aban­donné tout espoir de deve­nir « cool » au lycée – une sorte de jeu de cartes Donjons et Dragons pour mordus de fantasy. La société en ques­tion s’ap­pe­lait Magic: The Gathe­ring Online eXchange, d’où Mt. Gox tire son nom peu commun. Mais rapi­de­ment, les nerds des débuts ont été lais­sés à la traîne, quand les bitcoins sont entrés en jeu et que les cartes Magic ont été mises à l’écart. Ce n’est qu’en­suite qu’un gros montant en bitcoins a disparu des radars. À ce jour, 650 000 bitcoins d’une valeur de 292 millions de dollars restent donc toujours introu­vables, et Karpe­lès fait face à plusieurs chefs d’ac­cu­sa­tion – dont aucun ne concerne direc­te­ment cette dispa­ri­tion de monnaie virtuelle : entre autres, détour­ne­ment de fonds de ses clients et falsi­fi­ca­tion des données de sa plate­forme. En novembre de l’an­née dernière, les procu­reurs Japo­nais ont fina­le­ment réuni les charges rete­nues contre Karpe­lès, après l’avoir arrêté de nombreuses fois dans l’es­poir qu’il avoue chacun des crimes qu’ils le soupçon­naient d’avoir commis. Il est impor­tant de prendre en consi­dé­ra­tion le fait qu’une des raisons pour lesquelles les procu­reurs japo­nais ont un taux d’in­car­cé­ra­tion de 99 %, c’est qu’un suspect peut être retenu jusqu’à 23 jours après son arres­ta­tion, sans pouvoir être assisté de son avocat durant les inter­ro­ga­toires. Si la libé­ra­tion sous caution lui est refu­sée, la police et les procu­reurs ont encore davan­tage de temps à leur dispo­si­tion pour l’in­ter­ro­ger. Au final, la plupart des gens finissent par avouer ce qui leur est repro­ché – coupables ou non.

Mark & Jed

Lorsque les procu­reurs ont achevé leur enquête sur Karpe­lès en novembre, il a été inculpé pour usage inap­pro­prié de fonds élec­tro­niques et détour­ne­ment d’un total de 300 millions de yens (2,3 millions d’eu­ros) prove­nant des fonds de ses clients. À ce stade, les avocats de Karpe­lès ont seule­ment déclaré que leur client n’avait fait aucun aveu à la police, et qu’il n’était coupable que de comp­ta­bi­lité bâclée, ayant confondu les comptes person­nels et profes­sion­nels de ses clients – mais certai­ne­ment pas de détour­ne­ment. Cepen­dant, les docu­ments que nous sommes parve­nus à obte­nir, qui incluent des échanges entre Mark Karpe­lès et le fonda­teur initial de Mt. Gox, Jed McCa­leb, suggèrent que l’en­tre­prise était gangre­née de problèmes depuis ses débuts, avant même que Karpe­lès n’en prenne la tête. Nous avons reçu des docu­ments internes, parmi lesquels des e-mails, de la part d’un ancien consul­tant pour Mt. Gox. Nous avons examiné ces docu­ments avec l’avo­cat de Karpe­lès, d’an­ciens employés, ainsi qu’a­vec des sources au sein des forces de police. Jed McCa­leb a appro­ché Mark à propos de la vente de Mt. Gox en janvier 2011. Dans un mail datant du 18 janvier, McCa­leb écri­vait à Karpe­lès :

Salut Mark, Je te prie de garder tout ceci confi­den­tiel, je ne veux pas semer la panique et je ne suis pas encore certain que je passe­rai à l’acte, mais je pense que je vais essayer de vendre mtgox. C’est juste qu’il y a d’autres projets auxquels j’ai­me­rais consa­crer plus de temps. Serais-tu inté­ressé ? Il y aura à priori peu de frais à dépen­ser upfront, et juste un verse­ment basé sur les béné­fices ou un truc du genre. Il y a égale­ment un fonds d’in­ves­tis­se­ment qui veut mettre de l’argent dans mtgox. Proba­ble­ment aux alen­tours de 158 000 dollars. Donc tu pour­rais sûre­ment être majo­ri­taire avec un peu d’ap­port en liqui­di­tés. Dis-moi ce que tu en penses. Merci, Jed. Karpe­lès a commencé à s’in­té­res­ser au bitcoin à la fin de l’an­née 2010, et il a vu dans la plate­forme Mt. Gox l’en­droit parfait où mettre en place une bourse d’échange de la crypto-monnaie. Car à l’époque, chan­ger de la monnaie fidu­ciaire (c’est-à-dire bien réelle) contre des bitcoins n’était pas chose facile. Né dans la banlieue de Dijon en 1985, l’au­to­di­dacte à peine majeur a commencé à faire ses armes en entre­prise à Paris en 2003, en tant que déve­lop­peur de logi­ciels. Génie du coding au QI de 190, il est passé par le concep­teur de jeux Lynux Cyberjoueurs, le distri­bu­teur de produits infor­ma­tiques Foto­vista (devenu plus tard Pixma­nia) et chez les experts du télé­char­ge­ment de jeux vidéo Nexway. Ces diffé­rentes expé­riences lui ont permis d’af­fir­mer ses compé­tences en gestion de sécu­rité de réseau, et de maîtri­ser toute une multi­tude de langages de program­ma­tion. Confiant en ses facul­tés, Karpe­lès rêvait de deve­nir son propre patron.

En 2009, il est parti vivre sur l’ar­chi­pel nippon, au royaume des jeux vidéo qu’il véné­rait et de l’élec­tro­nique, qu’il connais­sait comme sa poche. Il a lancé sa propre société, Tibanne, une plate­forme d’hé­ber­ge­ment web qui déve­loppe aussi des appli­ca­tions. Par ailleurs passionné de hacking, le Français a ouvert dans la foulée un blog inti­tulé Magi­cal Tux, sur lequel il donnait des conseils éclai­rés en la matière. Au moment où il a accepté de reprendre l’en­tre­prise de McCa­leb, le 3 février 2011, Karpe­lès avait 28 ans, il était marié et papa, et postait des lol cats sur ses réseaux. Jed, lui, était une sommité du peer-to-peer : il avait créé eDon­key. L’ac­cord qu’ont signé les deux hommes compor­taient des clauses très inha­bi­tuelles. « Le Vendeur n’est pas certain que mt.gox.com respecte ou non la loi ou les statuts améri­cains en vigueur, ni ceux d’autres pays », spéci­fiait McCa­leb (le Vendeur) dans le contrat. Il y avait égale­ment inclus une clause d’in­dem­ni­sa­tion : « L’Ache­teur accepte d’in­dem­ni­ser le Vendeur en cas d’une éven­tuelle procé­dure judi­ciaire à l’en­contre de l’Ache­teur ou du Vendeur, en lien avec mt.gox.com ou toute autre acqui­si­tion faite selon les termes de ce contrat. » Peu de temps après la passa­tion de pouvoir, Karpe­lès a pris conscience du fait que Mt. Gox avait déjà été pira­tée au moins une fois par le passé, et il a appris la dispa­ri­tion d’un montant consé­quent de bitcoins – 80 000 au total. L’email suivant, daté du 28 avril 2011, a été utilisé comme preuve par les deux parties lors du procès. Il a sans doute marqué le début du cauche­mar de Mark Karpe­lès : De : Jed McCa­leb <jed@mt­gox.com> Envoyé : 28/04/2011 22:33 À : Mark Karpe­lès <admin@mt­gox.com> On va avoir un très gros problème avec un trou de 80k BTC si le prix unitaire monte à 100 dollars ou un truc du genre. Ça fait pas mal de dettes à ce niveau-là, mais Mt. Gox devrait avoir engrangé une tonne de BTC à l’heure qu’il est. Et puis il y a aussi le fait que le diffé­ren­tiel en BTC ne chutera peut-être pas au-dessous de 80 000. Donc peut-être que tu n’as pas réel­le­ment à te faire de souci à ce sujet. J’ai pensé à trois solu­tions : -Rache­ter petit à petit plus de BTC avec l’argent qu’il y a en réserve dans le logi­ciel de Gox. Si tout va bien, tu auras compensé la perte avant que les prix ne s’en­volent. -Achète un gros montant de BTC (pour bascu­ler la dette du bitcoin vers le dollar, en somme). En cas de hausse du cours du BTC, ça repré­sen­tera un gain énorme. Problème étant qu’il n’y a pas assez de bitcoins à vendre sur MtGox. Peut-être que tu pour­rais trou­ver quelqu’un sur le forum pour s’en char­ger? -Inci­ter les gens de crys­tal island à inves­tir -ils ont plus de 200k à dispo­si­tion, ce qui pour­rait suffire à combler le trou. Peut-être pour­rais-tu t’ins­pi­rer de l’une de ces idées ?

La chance n’était pas de son côté. Alors qu’il essayait de combler le trou, le cours du bitcoin augmen­tait sans cesse.

Nous avons essayé de contac­ter Jed McCa­leb pendant plusieurs semaines via ses adresses mail et les réseaux sociaux, sans obte­nir de réponse. Kim Nils­son, un expert en sécu­rité infor­ma­tique pour WizSec qui enquête sur l’af­faire depuis deux ans, est formel : « En suppo­sant que les e-mails sont authen­tiques, compte tenu de leur date, Mark et Jed étaient tous les deux au courant que 80 000 BTC manquaient sur le compte avant le pira­tage de grande enver­gure de juin 2011, et Jed propo­sait des idées pour y remé­dier. » La ques­tion reste entière : l’un des deux a-t-il mis ces plans en action ? – par exemple, en mettant au point un bot de trading (une appli­ca­tion qui exécute des tâches auto­ma­tiques) afin de couvrir cette perte. C’est à ce jour un mystère qui n’a pas été percé.

Traduit de l’an­glais par Matthieu Volait d’après l’ar­ticle « Behind the Biggest Bitcoin Heist in History: Inside the Implo­sion of Mt. Gox », paru dans le Daily Beast. Couver­ture : Jed McCa­leb et Mark Karpe­lès. (Créa­tion graphique par Ulyces)