On en a tous rêvé un jour : retirer de l&#x2019;[argent](https://www.vice.com/fr/topic/argent) gratuitement depuis le distributeur automatique de la [banque](https://www.vice.com/fr/topic/banques). Josep Rodriguez, chercheur en sécurité informatique, l&#x2019;a fait en utilisant une application Android, développée par ses soins. Chargé de détecter les failles des banques, il est parvenu à pirater les distributeurs de billets dotés d&#x2019;un lecteur sans contact NFC, [bientôt disponibles en France](https://www.lesfurets.com/banque/actualites/distributeurs-de-billets-sans-contact).

Le hacker alerte sur ces nouveaux distributeurs sans contact qu&#x2019;il a pu vider avec une facilité déconcertante depuis son smartphone. Il a détecté de nombreuses failles durant ses tests. Très facilement piratables, il est également possible de modifier les valeurs de transactions à distance sans que l&#x2019;utilisateur du guichet s&#x2019;en rende compte ou encore de rendre l&#x2019;appareil inutilisable ou d&#x2019;y installer un logiciel de rançon ([ransomware](https://www.vice.com/fr/article/m7ebva/on-part-dans-le-roman-despionnage-au-proces-du-hacker-russe-alexander-vinnik)). Selon le chercheur, plus on ouvre d&#x2019;accès à un système bancaire, plus on a de risques d&#x2019;être piraté.

Installé au Japon depuis une trentaine d'années, le prolifique journaliste américain publie ce jeudi 7 mars <a href="http://editions-marchialy.fr/jai-vendu-mon-ame-en-bitcoins/" target="_blank">J'ai vendu mon âme en bitcoins aux Éditions Marchialy</a> – après Tokyo Vice (2016) et Le Dernier des yakuzas (2017). En collaboration avec la journaliste suisse Nathalie Stucky, Adelstein raconte ici l'histoire d'un jeune geek français, Mark Karpelès, qui fût le pape des bitcoins à Tokyo – avant de tout perdre suite au vol de centaines de milliers de bitcoins. Dans le prologue de son nouvel ouvrage, que nous publions ci-dessous, Adelstein revient sur les jours précédant l'arrestation pas vraiment justifiée de Karpelès. <hr>Avant de venir frapper à sa porte, la police appela pour le prévenir, et avant de l’appeler, les flics laissèrent poliment fuiter à la presse qu’ils s’apprêtaient à arrêter Mark Karpelès, l’ancien P-DG de Mt. Gox, une plateforme d’échange de bitcoins basée à Tokyo. Mark savait donc qu’il allait être arrêté, je savais qu’il allait être arrêté, tout comme la journaliste avec laquelle je travaillais, Nathalie-Kyoko Stucky, savait qu’il allait être arrêté. À vrai dire, elle attendait la police avec lui et ses chats, dans son petit appartement, pour que l’on ait le scoop. On savait tous qu’il allait se faire coffrer et pourtant on espérait encore que rien ne se passerait. Nathalie et moi ne savions pas s’il était innocent ou coupable, mais nous savions très bien qu’au Japon, pour la police, vous êtes considéré coupable jusqu’à ce qu’elle ait les moyens de le prouver – et aux yeux de l’opinion publique, Mark était déjà condamné. Le Nikkei, le plus grand journal économique du Japon, avait annoncé son arrestation la veille, dans l’édition du 31 juillet 2015. L’article n’avait pas grand intérêt, mais il donnait les infos les plus importantes. En substance, tous les « scoops » publiés avant l’arrestation donnaient à peu près ceci : « Un responsable de l’enquête chargé d’élucider la disparition de plusieurs centaines de milliers de bitcoins sur la plateforme Mt. Gox nous a révélé le 30 juillet que la police de Tokyo allait constituer un dossier contre le P-DG pour avoir créé de faux comptes et utilisé des comptes d’usagers sans leur accord. En trafiquant sa propre plateforme, il aurait ainsi fait accroître artificiellement le cours des bitcoins. Tous les soupçons convergent donc vers le P-DG français de la plateforme Mt. Gox (dont le siège se situe à Tokyo) en cours de liquidation. D’après une source proche de l’enquête, le P-DG aurait perdu des bitcoins appartenant à des particuliers lors d’erreurs de manipulation. La police de Tokyo étudie également la piste d’un éventuel détournement de fonds. L’année dernière, lors d’une conférence de presse, le P-DG avait expliqué que des attaques extérieures étaient à l’origine de la disparition des 650 000 bitcoins (ce qui équivaut aujourd’hui à 23 milliards de yens) appartenant à des comptes clients. Mt. Gox a pu voir transiter jusqu’à 80 % des flux mondiaux de bitcoins. En février dernier, la société a plaidé en faveur d’une réhabilitation civile devant le tribunal de Tokyo. En avril, le tribunal de district a déclaré l’entreprise en liquidation judiciaire. » L’arrestation eut lieu le 1er août 2015, un samedi matin. La police appela Mark à 5 heures, avant que les journaux ne soient livrés à domicile – la plupart annonçaient pourtant déjà ce qui allait se produire. C’était la moindre des politesses que de prévenir Mark dans la mesure où il travaillait avec la brigade de lutte contre la cybercriminalité de la police de Tokyo depuis un an afin de découvrir qui s’était introduit dans les serveurs de Mt. Gox et avait fait disparaître 650 000 bitcoins (environ 450 millions de dollars). Mais il semblait bien que la division 2 (捜査2課) consacrée à la criminalité en col blanc avait décidé en cours de route que le hacker n’était autre que Mark lui-même. Franchement, est-ce que ce n’était pas la décision la plus logique à prendre, la manière la plus simple de classer cette affaire? La stratégie des flics était de boucler Mark au premier prétexte venu et de le faire craquer une fois en garde à vue, de lui faire avouer que c’était lui qui était parti avec les bitcoins. L’avenir nous prouvera que cette stratégie n’était pas la bonne. Quelques jours avant son arrestation, Nathalie et moi nous étions entretenus avec Mark. Je n’y allai pas par quatre chemins: « Mark, tu as lu mon premier livre [Tokyo Vice, livre autobiographique dans lequel Jake Adelstein retrace vingt-cinq ans de carrière en tant que journaliste spécialisé dans les affaires criminelles à Tokyo], donc tu dois savoir à peu près comment ça marche, mais j’aimerais que l’on reprenne depuis le début. La police va venir te chercher. Ils vont te faire traverser une cohorte de journalistes qui auront été prévenus de l’heure exacte de ton arrestation pour qu’ils puissent prendre toutes les photos et les vidéos qu’ils veulent. Tu seras détenu pendant vingt-quatre heures minimum. Puis ils entameront les poursuites judiciaires. Le procureur aura quarante-huit heures pour décider de continuer la procédure ou non. Il demandera probablement de prolonger ta détention d’une dizaine de jours, prétextant que tu représentes un risque, dans la mesure où tu pourrais en profiter pour quitter le Japon ou détruire des preuves. Puis ils invoqueront le même prétexte pour la prolonger d’une dizaine de jours une fois de plus. Bout à bout, le premier round durera autour de vingt-trois jours. Et si tu n’avoues pas, ils t’arrêteront à nouveau dès que tu seras dehors et ça recommencera depuis le début. » Mark secoua légèrement son visage rondouillet et blêmit, mais il demeura calme. Je l’avais rencontré à plusieurs reprises depuis que sa société avait eu des ennuis, mais je n’avais jamais su quoi penser de lui. Il était enrobé, pâle, avec les cheveux longs et ondulés. On aurait dit qu’on lui avait collé le nez au milieu du visage alors que le cartilage était encore mou. Il portait des tee-shirts la plupart du temps et son expression oscillait entre un sourire saugrenu et un air perplexe. Je comprenais pourquoi certains de ses employés le comparaient au chat du Cheshire d’Alice au pays des merveilles. Je me demandai s’il avait bien compris. Il y avait eu comme une sorte de décalage tout au long de la conversation, un peu comme à l’époque où l’on passait un appel téléphonique à l’étranger depuis un appareil à cadran rotatif. Vous êtes peut-être trop jeunes pour avoir connu le genre d’échange bizarre que cela donnait. On n’était jamais vraiment certain que notre interlocuteur nous entendait. « Est-ce que tu comprends ce que je suis en train de t’expliquer ? » J’avais vraiment besoin d’être sûr que oui. Il hocha la tête. « Je n’ai rien fait. Je ne suis coupable de rien. – Ils s’en fichent. Ils feront de toi un coupable. Ils ont déjà un avis sur la question. » Je tapai de l’index sur la table basse autour de laquelle nous étions assis. « Ne fais aucune déclaration. Ne signe aucun document. Si tu dois prendre la parole, exprime-toi en français. Au Japon, les procureurs ont horreur de traiter les affaires qui ne sont pas toutes cuites d’avance. C’est comme ça qu’ils arrivent à un taux de condamnation de 99 % – la plupart des affaires complexes sont laissées de côté. « Complique-leur la tâche. Ne signe rien qui soit écrit en japonais, même si je sais que tu es capable de le lire. « Ils vont te malmener, puis t’amadouer, te promettre une remise de peine en échange d’aveux, t’empêcher de voir ton avocat, puis te promettre ton avocat, ils vont prétendre disposer de témoignages et de preuves qu’ils n’ont pas, ils vont tout faire pour te briser moralement. « Tu ne dois rien céder. Peu importe les arrestations à répétition, le nombre de chefs d’accusation – tu restes en retrait. Car si vingt-trois, quarante-six ou même soixante-neuf jours te paraissent une éternité, ça ne sera rien à côté de trois ou quatre ans en taule au Japon. Crois-moi. » Mark hocha la tête. « Tu sais de quoi tu parles, je n’en ai aucun doute. Je serai prêt. – Mets une tenue correcte. Aie de l’allure. Garde la tête haute. Ce sera probablement la dernière fois que les gens te verront à la télé avant longtemps. Aie l’air pro. Aie l’air irréprochable. Tiens-toi prêt. – J’ai compris. Ça devrait aller. Je serai prêt. » Il en fut loin. Mark resta éveillé toute la nuit, ne prit ni la peine de se raser ni de se préparer à être embarqué à 6 heures pétantes. Nathalie m’appela juste après le coup de fil de la police qui lui disait être en route. Elle me prévint que des journalistes étaient attroupés devant chez lui depuis plusieurs heures déjà. Je lui dis de faire en sorte qu’il soit bien habillé. Juste avant l’arrivée de la police, il enfila un teeshirt bleu avec inscrit en anglais « Effortless French » et se cacha le visage sous une casquette de baseball noir et blanc à l’effigie du personnage Monokuma, un ours robot tiré d’un jeu vidéo très populaire. Les policiers lui lurent ses droits tout en essayant de faire en sorte que Nathalie quitte les lieux. Ils le menottèrent alors qu’il avait accepté de s’en remettre aux autorités dès le vendredi après la publication de l’article dans Nikkei, mais comme on dit : The show must go on. De mon côté, j’étais en contact avec Christopher Dickey, le responsable du service étranger du Daily Beast, l’un des plus grands magazines en ligne des États-Unis. Ça faisait un an que l’on couvrait cette affaire. Je savais que le Beast voulait un scoop – en temps réel. Chris Dickey, qui vivait à Paris, mesurait bien l’importance de cette enquête : un jeune Français serré par la police japonaise pour ce qui semblait être le plus grand cyberbraquage de l’histoire. Je l’imaginais devant son ordi, le souffle court, attendant que je lui envoie une dépêche. Quand nous lui avions dit que l’arrestation était pour le lendemain, il nous avait répondu : « Est-ce que vous pouvez m’écrire ça pour la rubrique “Cheat Sheet” ? » Cheat Sheet ! J’étais sur le cul. Pour comparer avec la presse papier, cela revenait à publier un article en page trois. Pour Dickey, il était trop tôt pour savoir si Karpelès était innocent ou non. Et il n’était pas surpris de son arrestation. J’imagine que cela n’aurait pas dû me surprendre non plus. Alors que nous échangions par e-mail, Chris et moi, Nathalie regardait les policiers emmener Mark, très poliment, presque désolés. Ils l’autorisèrent à recouvrir ses menottes d’un tissu avant de sortir de l’immeuble et de fendre la horde de journalistes envoyés par les plus grands médias. Son tee-shirt et sa casquette ne passèrent pas inaperçus. La casquette en particulier jeta le trouble dans l’esprit des otaku – les fans de jeux vidéo, de dessins animés et de mangas japonais. Dans la série de jeux vidéo, le personnage de Monokuma répète souvent : « Tous les humains ont des regrets, aimeraient changer certaines choses. Mais pas moi ! Parce que je suis un ours. » Pour ceux qui étaient versés dans les jeux vidéo, cette casquette fut lourde de sens. Pour le grand public, c’était juste une casquette à la con. On lui retira sa casquette en le faisant grimper à l’arrière d’une voiture de police. Les journalistes se lancèrent après eux. Quant à la signification d’Effortless French sur le teeshirt, elle était ouverte à interprétation. Le Sankei Shinbun, le grand journal conservateur qui avait suivi l’affaire de près, traduisit l’expression comme ceci : « Un Français qui ne fait pas le moindre effort ». Alors que je regardais les infos, agitant la tête de droite à gauche, je me disais que Mark ne faisait pas le moindre effort pour se racheter aux yeux du public. Peut-être était-il coupable, après tout.<hr>J'ai vendu mon âme en bitcoins, le nouveau livre de Jake Adelstein, écrit avec Nathalie Stucky, est disponible en librairie à partir de ce jeudi 7 mars 2019. VICE France est aussi sur <a href="https://twitter.com/vicefr" target="_blank">Twitter</a>, <a href="https://www.instagram.com/vice_france/" target="_blank">Instagram</a> et <a href="https://www.facebook.com/VICEFrance/" target="_blank">Facebook</a>.

vice

bitcoins

Culture

Comment un Français s'est retrouvé au milieu du premier cyber-braquage de l'histoire

livre

Jake Adelstein

Mark Karpeles

Josep Rodriguez est parvenu à retirer de l&#x2019;argent sur au moins une famille de système d&#x2019;une banque, dont il ne souhaite pas donner le nom par souci de confidentialité. Interrogé par [Wired](https://www.wired.com/story/atm-hack-nfc-bugs-point-of-sale/), l&#x2019;expert précise que son attaque s&#x2019;appuie sur les nombreuses failles trouvées dans le lecteur NFC couplées aux défauts du logiciel de configuration du distributeur automatique.

La principale faiblesse réside aujourd&#x2019;hui dans le fait que les lecteurs sans contact ne vérifient pas la taille des messages reçus. La mémoire tampon des machines, qui sert à stocker temporairement des données, peut vite être saturée et inutilisable. C&#x2019;est cette brèche qui permet ensuite de retirer autant d&#x2019;argent que l&#x2019;on souhaite. Si le chercheur ne compte pas détailler tous les aspects techniques de son hack pour éviter de donner des idées à des esprits mal intentionnés, il présentera le fruit de ses recherches lors d&#x2019;une conférence en ligne dans les prochaines semaines.

_VICE France est aussi sur_ [Twitter](https://twitter.com/vicefr)_,_ [Instagram](https://www.instagram.com/vice_france/)_,_ [Facebook](https://www.facebook.com/VICEFrance/) _et sur_ [Flipboard.](https://flipboard.com/@ViceFrance?action=follow)  
_VICE Belgique est sur_ [Instagram](https://www.instagram.com/vicebelgique/) _et_ [Facebook](https://www.facebook.com/vicebelgium).

Il pirate un distributeur de billets avec un smartphone et retire autant d'argent qu'il veut

Comment un Français s'est retrouvé au milieu du premier cyber-braquage de l'histoire

Dernière étape pour t'abonner à la newsletter VICE...