Un trésor numérique
De Tokyo — Quand le Français Mark Karpelès, le PDG de Mt. Gox, qui fut un jour la plus grande bourse d’échange de bitcoins au monde, a déclaré son entreprise en faillite après le piratage de 850 000 bitcoins (qui valaient environ un demi-milliard de dollars à l’époque) en février 2014, il ne mentait pas tout à fait. Mais il ne disait pas exactement la vérité non plus. Il dissimulait un fait étrange, que nous n’avons appris que très récemment. Il apparaît qu’au moins 80 000 bitcoins ont été piratés avant même que Karpelès ne prenne la tête de l’entreprise, et que ce cyber-braquage initial a enclenché une spirale de problèmes qui ont peut-être bien conduit directement à l’effondrement financier de la société.
La semaine dernière, nous avons obtenu des e-mails internes, des contrats, ainsi que d’autres documents relatifs à l’implosion de l’entreprise de Karpelès, Mt. Gox. Assortis d’informations fournies par un ancien employé qui s’occupait de la comptabilité de le société, les documents révèlent de nouveaux détails sur les raisons de la faillite de Mt. Gox. D’après l’avocat de Karpelès, Nobuyasu Ogata, l’un des e-mails en question a été présenté au tribunal comme pièce à conviction par la partie civile pour démontrer que Karpelès ne se montrait pas coopératif avec ses clients. Le même e-mail, cependant, peut servir à l’innocenter pour d’autres chefs d’accusation. Mais n’allons pas trop vite. Mt. Gox, qui fut un jour la plus grande bourse d’échange de la monnaie électronique décentralisée, a déposé le bilan pour faillite en février 2014, lorsqu’il s’est avéré que 850 000 bitcoins, alors d’une valeur de 450 millions de dollars, s’étaient volatilisés ou bien avaient été dérobés par des hackers. Mt. Gox a également fait état de la perte de 27 millions de dollars en espèces.
Le 7 mars 2014, une semaine après les faits, Mt. Gox a déclaré avoir « retrouvé » 200 000 bitcoins disparus, après avoir remis la main sur un vieux porte-feuille égaré. Le 1er janvier 2015, les enquêteurs de la police métropolitaine de Tokyo ont conclu après leurs investigations préliminaires que seuls 1 % des bitcoins manquants (soit 7 000 BTC) l’étaient pour cause de cyberattaques. La police suspecte que les 643 000 autres bitcoins ont été retirés des comptes clients par une personne inconnue. « Je soupçonne que les bitcoins manquants ont été dérobés par un des employés de l’entreprise », nous avait confié Mark Karpelès à l’époque. « J’ai essayé d’en parler à la police, mais ça n’a pas semblé les intéresser. J’ai été aussi coopératif que possible durant l’enquête mais j’espère qu’ils ne me visent pas. Je n’ai rien volé. »
À l’origine, la société a été conçue comme une plateforme d’échange de cartes à jouer. Non pas de cartes Pokémon, mais de cartes Magic: The Gathering, un jeu très populaire chez les gamins qui ont abandonné tout espoir de devenir « cool » au lycée – une sorte de jeu de cartes Donjons et Dragons pour mordus de fantasy. La société en question s’appelait Magic: The Gathering Online eXchange, d’où Mt. Gox tire son nom peu commun. Mais rapidement, les nerds des débuts ont été laissés à la traîne, quand les bitcoins sont entrés en jeu et que les cartes Magic ont été mises à l’écart. Ce n’est qu’ensuite qu’un gros montant en bitcoins a disparu des radars. À ce jour, 650 000 bitcoins d’une valeur de 292 millions de dollars restent donc toujours introuvables, et Karpelès fait face à plusieurs chefs d’accusation – dont aucun ne concerne directement cette disparition de monnaie virtuelle : entre autres, détournement de fonds de ses clients et falsification des données de sa plateforme. En novembre de l’année dernière, les procureurs Japonais ont finalement réuni les charges retenues contre Karpelès, après l’avoir arrêté de nombreuses fois dans l’espoir qu’il avoue chacun des crimes qu’ils le soupçonnaient d’avoir commis. Il est important de prendre en considération le fait qu’une des raisons pour lesquelles les procureurs japonais ont un taux d’incarcération de 99 %, c’est qu’un suspect peut être retenu jusqu’à 23 jours après son arrestation, sans pouvoir être assisté de son avocat durant les interrogatoires. Si la libération sous caution lui est refusée, la police et les procureurs ont encore davantage de temps à leur disposition pour l’interroger. Au final, la plupart des gens finissent par avouer ce qui leur est reproché – coupables ou non.
Mark & Jed
Lorsque les procureurs ont achevé leur enquête sur Karpelès en novembre, il a été inculpé pour usage inapproprié de fonds électroniques et détournement d’un total de 300 millions de yens (2,3 millions d’euros) provenant des fonds de ses clients. À ce stade, les avocats de Karpelès ont seulement déclaré que leur client n’avait fait aucun aveu à la police, et qu’il n’était coupable que de comptabilité bâclée, ayant confondu les comptes personnels et professionnels de ses clients – mais certainement pas de détournement. Cependant, les documents que nous sommes parvenus à obtenir, qui incluent des échanges entre Mark Karpelès et le fondateur initial de Mt. Gox, Jed McCaleb, suggèrent que l’entreprise était gangrenée de problèmes depuis ses débuts, avant même que Karpelès n’en prenne la tête. Nous avons reçu des documents internes, parmi lesquels des e-mails, de la part d’un ancien consultant pour Mt. Gox. Nous avons examiné ces documents avec l’avocat de Karpelès, d’anciens employés, ainsi qu’avec des sources au sein des forces de police. Jed McCaleb a approché Mark à propos de la vente de Mt. Gox en janvier 2011. Dans un mail datant du 18 janvier, McCaleb écrivait à Karpelès :
Salut Mark, Je te prie de garder tout ceci confidentiel, je ne veux pas semer la panique et je ne suis pas encore certain que je passerai à l’acte, mais je pense que je vais essayer de vendre mtgox. C’est juste qu’il y a d’autres projets auxquels j’aimerais consacrer plus de temps. Serais-tu intéressé ? Il y aura à priori peu de frais à dépenser upfront, et juste un versement basé sur les bénéfices ou un truc du genre. Il y a également un fonds d’investissement qui veut mettre de l’argent dans mtgox. Probablement aux alentours de 158 000 dollars. Donc tu pourrais sûrement être majoritaire avec un peu d’apport en liquidités. Dis-moi ce que tu en penses. Merci, Jed. Karpelès a commencé à s’intéresser au bitcoin à la fin de l’année 2010, et il a vu dans la plateforme Mt. Gox l’endroit parfait où mettre en place une bourse d’échange de la crypto-monnaie. Car à l’époque, changer de la monnaie fiduciaire (c’est-à-dire bien réelle) contre des bitcoins n’était pas chose facile. Né dans la banlieue de Dijon en 1985, l’autodidacte à peine majeur a commencé à faire ses armes en entreprise à Paris en 2003, en tant que développeur de logiciels. Génie du coding au QI de 190, il est passé par le concepteur de jeux Lynux Cyberjoueurs, le distributeur de produits informatiques Fotovista (devenu plus tard Pixmania) et chez les experts du téléchargement de jeux vidéo Nexway. Ces différentes expériences lui ont permis d’affirmer ses compétences en gestion de sécurité de réseau, et de maîtriser toute une multitude de langages de programmation. Confiant en ses facultés, Karpelès rêvait de devenir son propre patron.
En 2009, il est parti vivre sur l’archipel nippon, au royaume des jeux vidéo qu’il vénérait et de l’électronique, qu’il connaissait comme sa poche. Il a lancé sa propre société, Tibanne, une plateforme d’hébergement web qui développe aussi des applications. Par ailleurs passionné de hacking, le Français a ouvert dans la foulée un blog intitulé Magical Tux, sur lequel il donnait des conseils éclairés en la matière. Au moment où il a accepté de reprendre l’entreprise de McCaleb, le 3 février 2011, Karpelès avait 28 ans, il était marié et papa, et postait des lol cats sur ses réseaux. Jed, lui, était une sommité du peer-to-peer : il avait créé eDonkey. L’accord qu’ont signé les deux hommes comportaient des clauses très inhabituelles. « Le Vendeur n’est pas certain que mt.gox.com respecte ou non la loi ou les statuts américains en vigueur, ni ceux d’autres pays », spécifiait McCaleb (le Vendeur) dans le contrat. Il y avait également inclus une clause d’indemnisation : « L’Acheteur accepte d’indemniser le Vendeur en cas d’une éventuelle procédure judiciaire à l’encontre de l’Acheteur ou du Vendeur, en lien avec mt.gox.com ou toute autre acquisition faite selon les termes de ce contrat. » Peu de temps après la passation de pouvoir, Karpelès a pris conscience du fait que Mt. Gox avait déjà été piratée au moins une fois par le passé, et il a appris la disparition d’un montant conséquent de bitcoins – 80 000 au total. L’email suivant, daté du 28 avril 2011, a été utilisé comme preuve par les deux parties lors du procès. Il a sans doute marqué le début du cauchemar de Mark Karpelès : De : Jed McCaleb <jed@mtgox.com> Envoyé : 28/04/2011 22:33 À : Mark Karpelès <admin@mtgox.com> On va avoir un très gros problème avec un trou de 80k BTC si le prix unitaire monte à 100 dollars ou un truc du genre. Ça fait pas mal de dettes à ce niveau-là, mais Mt. Gox devrait avoir engrangé une tonne de BTC à l’heure qu’il est. Et puis il y a aussi le fait que le différentiel en BTC ne chutera peut-être pas au-dessous de 80 000. Donc peut-être que tu n’as pas réellement à te faire de souci à ce sujet. J’ai pensé à trois solutions : -Racheter petit à petit plus de BTC avec l’argent qu’il y a en réserve dans le logiciel de Gox. Si tout va bien, tu auras compensé la perte avant que les prix ne s’envolent. -Achète un gros montant de BTC (pour basculer la dette du bitcoin vers le dollar, en somme). En cas de hausse du cours du BTC, ça représentera un gain énorme. Problème étant qu’il n’y a pas assez de bitcoins à vendre sur MtGox. Peut-être que tu pourrais trouver quelqu’un sur le forum pour s’en charger? -Inciter les gens de crystal island à investir -ils ont plus de 200k à disposition, ce qui pourrait suffire à combler le trou. Peut-être pourrais-tu t’inspirer de l’une de ces idées ?
La chance n’était pas de son côté. Alors qu’il essayait de combler le trou, le cours du bitcoin augmentait sans cesse.
Nous avons essayé de contacter Jed McCaleb pendant plusieurs semaines via ses adresses mail et les réseaux sociaux, sans obtenir de réponse. Kim Nilsson, un expert en sécurité informatique pour WizSec qui enquête sur l’affaire depuis deux ans, est formel : « En supposant que les e-mails sont authentiques, compte tenu de leur date, Mark et Jed étaient tous les deux au courant que 80 000 BTC manquaient sur le compte avant le piratage de grande envergure de juin 2011, et Jed proposait des idées pour y remédier. » La question reste entière : l’un des deux a-t-il mis ces plans en action ? – par exemple, en mettant au point un bot de trading (une application qui exécute des tâches automatiques) afin de couvrir cette perte. C’est à ce jour un mystère qui n’a pas été percé.
LISEZ ICI LA DEUXIÈME PARTIE DE L’HISTOIRE
MARK KARPELÈS EST-IL ESCROC OU VICTIME ?
Traduit de l’anglais par Matthieu Volait d’après l’article « Behind the Biggest Bitcoin Heist in History: Inside the Implosion of Mt. Gox », paru dans le Daily Beast. Couverture : Jed McCaleb et Mark Karpelès. (Création graphique par Ulyces)