La semaine passée, la justice américaine annonçait l'arrestation d'un couple de New-Yorkais qui détenaient les clefs du portefeuille où étaient stockés l'équivalent de 3,5 milliards de dollars en bitcoins volés en 2016. Un agent du fisc américain explique comment son unité cyber a pu remonter jusqu'à eux.
Christopher Janczewski, agent spécialisé de l'unité cyber du fisc américain, détaille dans sa déclaration sous serment (« affidavit ») les éléments lui ayant permis de relier un couple de New-Yorkais, Ilya « Dutch » Lichtenstein et sa femme Heather Morgan – âgés de 34 et 31 ans et dont l'arrestation a été révélée le 8 février – à quelques 80 % des 119 754 bitcoins volés en août 2016 sur la plateforme de cryptomonnaies Bitfinex.
Ils étaient depuis stockés sur un portefeuille matériel, 1CGA4s, non relié à une plateforme d'échanges de cryptomonnaies (« virtual currency exchange “VCE” », en anglais), et dont les détenteurs restaient donc impossibles à identifier.
À partir de janvier 2017, une partie des bitcoins volés avaient cela dit été transférés via une série de petites transactions complexes sur plusieurs comptes et plateformes : « Ce remaniement, qui a créé un nombre volumineux de transactions, semblait être conçu pour dissimuler le chemin des BTC volés, ce qui rendait difficile pour les forces de l'ordre de retracer les fonds ».
Suivez l'argent
Dans la conduite de ces transactions, Lichtenstein et Morgan ont utilisé de nombreuses techniques de blanchiment d'argent, notamment :
- des comptes créés avec des identités fictives ;
- déplacer les fonds volés en une série de petits montants, totalisant des milliers de transactions, plutôt qu'en une seule fois ou en plus gros morceaux ;
- utiliser des programmes informatiques pour automatiser les transactions, une technique de blanchiment qui permet à de nombreuses transactions d'avoir lieu en peu de temps ;
- superposer les fonds volés en les déposant sur des comptes de plusieurs plateformes d'échanges de cryptomonnaies et places de marchés sur le darknet, avant de les en retirer, ce qui obscurcit la trace de l'historique des transactions ;
- convertir le BTC en d'autres formes de monnaie virtuelle, dont certaines conçues pour renforcer l'anonymat, dans une pratique connue sous le nom de « chain hopping » ;
- utiliser des comptes d'entreprise basés aux États-Unis pour légitimer leur activité.
L'unité cyber du fisc américain n'en a pas moins réussi à retracer les flux de milliers de transactions jusqu'à une douzaine de comptes reliés, soit nommément, soit via des fausses identités, à Lichtenstein et Morgan, comme le montrent sommairement ces graphiques simplifiés fournis dans l'affidavit.
La piste Alphabay
L'équivalent de 186 000 dollars avaient ainsi d'abord été blanchis via Alphabay, alors l'une des principales places de marchés du darknet, puis transférés vers 6 comptes reliés à des adresses e-mails d'un prestataire indien et qui partageaient « de nombreux points communs notables » :
- les adresses e-mail étaient de style similaire et hébergées par le même fournisseur basé en Inde ;
- avaient été connectées aux mêmes adresses IP ;
- avaient été créées à peu près à la même période correspondant au piratage de Bitfinex aux alentours d'août 2016 ;
- étaient engagées dans des schémas de blanchiment similaires vers des Monero (XMR), une monnaie virtuelle axée sur l'anonymat.
Le fisc ne le précise pas, mais deux experts des cryptomonnaies, ayant eux-mêmes beaucoup travaillé à suivre les traces des bitcoins volés à Bitfinex, expliquent au Time que la saisie des serveurs d'Alphabay par le FBI a pu « énormément aider » les enquêteurs du fisc dans leur enquête, et « probablement entraîné la chute » du couple :
« Cette fermeture a permis aux forces de l'ordre d'accéder aux journaux de transactions internes du service, ce qui a aidé les responsables à faire concrètement le lien entre le portefeuille lié au piratage de 2016 et les comptes blanchis. »
Des comptes gelés, mais révélateurs
Le prestataire indien, incapable de vérifier l'identité de leurs utilisateurs, leur avait en effet demandé, en février et mars 2017, de bien vouloir s'authentifier. Faute de réponses, il avait alors gelé leurs comptes dans la foulée.
Pour autant, l'analyse de plusieurs transactions effectuées depuis plusieurs de ces comptes a permis de découvrir que des bitcoins avaient été de nouveau blanchis entre février et décembre 2017 vers plusieurs comptes créés entre 2015 et 2017 chez des plateformes d'échanges de cryptomonnaies au nom de Lichtenstein. Ces dernières étant américaines, il avait dû y authentifier l'adresse où il résidait alors à San Francisco, son adresse e-mail personnelle, ainsi qu'un selfie et son permis de conduire.
Depuis, le fisc a en outre découvert un tableau enregistré sur le compte de stockage en nuage de Lichtenstein répertoriant les informations de connexion des adresses e-mails indiennes, avec une notation indiquant « GELÉ », confirmant qu'il en était bien le détenteur.
Près de 4 millions de dollars blanchis en quatre ans
L'analyse des fonds reçus par plusieurs des portefeuilles de Lichtenstein a permis la découverte de deux nouveaux portefeuilles adossés, cette fois, à des adresses e-mail d'un prestataire russe, ainsi que des transferts de fonds vers des portefeuilles contrôlés par Heather Morgan, qu'elle avait authentifiés.
Or, et là encore, le détenteur de ces portefeuilles russes n'a pas répondu à la demande d'authentification envoyée par la plateforme d'échanges de cryptomonnaies, amenant ce dernier à geler les comptes, et l'équivalent de 155 000 dollars de crypto-monnaies qui y résidaient encore.
Trois de leurs comptes, auxquels ils se connectaient depuis l'adresse IP de leur domicile à New York, n'en avaient pas moins reçu, entre mars 2017 et octobre 2021, l'équivalent de 2,9 millions de dollars de bitcoins, convertis en monnaie fiduciaire et transférés sur leurs comptes bancaires. Deux autres comptes, ouverts au nom de leurs entreprises respectives, reçurent l'équivalent de 758 000 dollars de cryptomonnaies entre 2018 et 2020.
Interrogés par la plateforme d'échanges de cryptomonnaies et d'autres institutions financières sur l'origine de ces fonds, tous deux répondirent qu'ils résultaient d'achats de bitcoins effectués par Lichtenstein entre 2014 et 2015, alors que l'analyse de la blockchain pointait vers les portefeuilles russes créés en 2017, après le vol de Bitfinex.
L'analyse de la blockchain montrait en outre un cluster d'adresses, associé à un portefeuille ayant servi d'intermédiaire dans plusieurs transactions effectuées entre les comptes russes ayant refusé de s'authentifier et ceux de Lichtenstein et Morgan.
Leur erreur fut cette fois de les échanger vers un bon d'achat Walmart de 500 dollars et des courses Uber associés à l'adresse Gmail de Morgan, 725 dollars d'achats sur Playstation associés au compte de Lichtenstein, et 2 200 dollars de reservations sur Hotels.com effectués par les deux.
En attendant la docu-série Netflix
L'une des adresses email de Lichtenstein étant associée à un service de cloud américain, les agents du fisc demandèrent en 2021 une copie de ce qu'il contenait. Une portion « significative » de son contenu était chiffrée, mais ils ont réussi à décrypter, le 31 janvier, plusieurs fichiers prouvant que le couple était bel et bien associé au portefeuille 1CGA4s :
« Plus particulièrement, le compte contenait un fichier répertoriant toutes les adresses du portefeuille 1CGA4s et leurs clés privées correspondantes. En utilisant ces informations, les forces de l'ordre ont saisi le contenu restant du portefeuille, totalisant environ 94 636 BTC, d'une valeur actuelle de 3,629 milliards de dollars. »
À l'époque, les 119 756 bitcoins valaient approximativement 71 millions de dollars. Ils en valaient plus de 4,5 milliards en février 2022. Le couple aurait donc récupéré, ou rétrocédé, l'équivalent de près de 1 milliard de dollars en 4 ans seulement.
Ils n'ont ni l'un ni l'autre été accusés d'avoir eux-mêmes volé les bitcoins. Mais ils risquent une peine de prison de 20 ans pour blanchiment, et de 5 ans pour avoir fraudé le fisc. Netflix a depuis annoncé qu'il allait adapter leur histoire dans une série de documentaires.
Commentaires (22)
#1
C’est un bel exemple à partager à tous ceux qui croient être anonymes en utilisant les cryptomonnaies : toutes les transactions sont publiques donc tout lien avec son identité physique permet de désanonymiser toutes les transactions faites (avec une certaine marge d’erreur dans le cas d’association de malfaiteurs qui blanchissent leur argent à plusieurs).
Pendant ce temps, je vois plein d’usages possibles d’une somme d’argent anonyme (même volée) sans obtenir un gain réel. Mais peut-être qu’on ne peut pas se satisfaire de ça quand on parle de plusieurs millions voire milliards de dollars.
#1.1
Monero n’a pas été cracké comme certain aime à le dire.
#1.2
Je n’ai pas compris le rapport avec la choucroute.
#1.3
Oui je n’ai jamais compris d’où vient cette légende, il n’y a rien de plus tracé qu’une crypto, toute transaction est publique. Le seul relatif anonymat est que ces transactions sont noyées dans la masse des transactions mondiales, par contre n’importe qui (avec énormément de courage et de temps) peut retracer les origines exactes d’un paiement : C’est anonyme (enfin lié un identifiant unique anonyme) tant que tu ne t’en sers pas, dès que tu l’utilises pour acheter un truc, tu associes ton id numérique à ton identité physique.
Avec de l’argent classique, ça serait l’équivalent de devoir déclarer tous les numéros de séries de billets à chaque transaction en cash…
#2
Voilà qui éclaire nos lanternes suite à la news de la semaine dernière. Il faut rappeler également que les exchanges décentralisés à l’époque ne devaient pas être légion (ils ne le sont d’ailleurs toujours pas), d’où l’obligation de passer par des plateformes centralisées qui nécessitent de montrer pâte blanche et qui ont visiblement finies par rattraper les 2 voleurs en herbe.
#3
“L’une des adresses email de Lichtenstein étant associée à un service de cloud américain, les agents du fisc demandèrent en 2021 une copie de ce qu’il contenait. Une portion « significative » de son contenu était chiffrée, mais ils ont réussi à décrypter, le 31 janvier, plusieurs fichiers”
Comme c’est bizarre, un système de chiffrement sur un cloud américain qui n’a pas réussi à protéger les utilisateurs… Certaines mauvaises langues pourraient y voir un gag order de la justice US imposant l’accès aux contenus déchiffrés
Sinon cela signifie que ce fournisseur de cloud doit revoir la sécurité de l’intégralité des fichiers chiffrés via leur solution.
#4
Les données peuvent avoir été chiffrées avant d’être envoyées sur le cloud, dans quel cas l’hébergeur n’est en aucun cas responsable d’une backdoor ou d’un problème de sécurisation de leurs données chiffrées.
#4.1
En effet.
#5
Tiens en parlant de ca : comme dans toute bonne société patriarcale où les mâles sont avantagés et les femelles martyrisées, le mec reste en prison (caution rejetée) mais la meuf, elle, a pu sortir.
#5.1
Zemmour a parlé
Quel rapport avec la news ?
Question: s’ils n’ont pas été accusés du vol comment sont-il arrivés en possession des bitcoins ?
#5.2
86% des mis en cause pour meurtre sont ?
90% des des personnes condamnés sont des ?
84% des auteurs d’accidents mortels sont ?
……………..
Le doigt, la lune ………….
#5.3
‘l’égalité ‘ revendiquée………..mais, pas pour TOUT ?
(pas folle la guêpe) = ‘youpi’ !!!
#6
Rien, c’est une info, mais je la trouve revelatrice… Mais juste que laisser une blanchisseuse de milliards présumée en liberté, c’est risqué, même avec une caution de 2M$
Sinon apparement ce n’est pas qu’il s n’ont pas été accusés du vol lui même, c’est que le DoJ refuse pour le moment de commenter cette partie du cas.
https://www.techspot.com/news/93325-amateur-rapper-husband-accused-laundering-45-billion-bitcoin.html
Probablement qu’ils travaillent dessus mais qu’ils n’ont pas encore assez d’éléments à charge.
Un peu comme Capone qu’on n’a pas pu avoir pour ses crimes, on l’a eu pour les conséquences fiscales de ses crimes.
#7
Vivement la série ! J’espère qu’elle sera à la hauteur
#8
Ici on parle de vol et de fraude.
#8.1
Les stats sont du même ordre de grande grandeur, mais un peu plus faibles.
vol sans violence 77%
fraudes sur les chèques 63,5 %
escroqueries abus de confiance 68%
#8.2
Je connais pas l’affaire, donc je donne pas d’avis sur le fond (Mme a peut-être tout simplement des attaches familiales locales et M. non), mais justifier un traitement différencié d’individus soupçonnées de la même chose avec ces statistiques, ça me semble super-douteux.
A la limite, la statistique qui aurait du sens dans ce contexte, c’est est-ce que les hommes sont plus susceptibles de violer leur liberté conditionnelle que les femmes dans les affaires de fraude.
Maintenant, on sait qu’avoir un paradis fiscal pour nom de famille ne protège pas de l’IRS.
#8.3
Par contre dire que le patriarcat n’existe pas en se basant sur une décision de justice n’est pas un problème pour Drepanocytose.
#9
On est tous d’accord pour dire que “Dutch Lichtenstein” est un pseudo quand même ?
Moi c’est Jersey Luxembourg, et vous ?
#10
Raison invoquée : monsieur est russe, il peut donc se barrer en Russie. Parce que Madame, non, evidemment.
#11
Ah non.
Je dis qu’il existe, et qu’il est bienveillant avec les femmes
Edit : sinon quoi ? Dire que le “patriarcat” n’existe pas, tout court même en se basant sur rien, serait un problème ?
#11.1
Très bien, bon courage pour la suite.