La somme des flux de crypto-actifs anonymisés dans des mixeurs de crypto-monnaies a doublé en un an, tout comme la proportion de fonds illicites. Ils sont majoritairement issus de braquages effectués par des pirates affiliés à la Corée du Nord ou émanant de gangs de rançongiciels russophones.
Les fonds envoyés aux mixeurs (anonymiseurs) de crypto-monnaies par des groupes cybercriminels affiliés à la Russie et la Corée du Nord ont « considérablement augmenté en 2021 et 2022 », relève Chainalysis, un des spécialistes de l'analyste des blockchains et flux de crypto-actifs.
Les Nord-Coréens auraient, à eux seuls, envoyé l'équivalent de plus de 600 millions de dollars au deuxième trimestre 2022. Pour autant, et sur les six premiers mois de l'année, les avoirs envoyés par Lazarus Group, le plus connu des gangs nord-coréens, connu pour ses nombreux vols de crypto-actifs notamment, ne représente que 30 % des sommes adressées par des entités sanctionnées par les autorités américaines.
Hydra, la plus grosse des plateformes du « dark web », qualifiée de « Pokemon Go » de la drogue pour sa façon toute particulière de faire livrer ses colis, et dont la Russie avait saisi les serveurs en avril dernier, représente à elle seule 50 % du total.
- « Dark web » : l'hébergeur d'Hydra trahi par ses factures
- La police saisit Hydra, la plus grosse des plateformes du « dark web »
- Bitfinex : comment le fisc américain a remonté la piste des blanchisseurs de cryptos
Des centaines de millions de dollars liés aux rançongiciels russes
En mai dernier, le troisième, Blender.io, avait été sanctionné par l'Office of Foreign Assets Control (OFAC) du département américain du Trésor pour avoir blanchi des cryptos au profit de la Corée du Nord.
Lazarus venait, le 23 mars, de braquer près de 620 millions de dollars d'un projet de blockchain lié au jeu en ligne Axie Infinity, et en avait envoyé 20,5 millions à Blender.io.
Au total, le Trésor estime que depuis sa création en 2017, Blender.io aurait aidé à transférer plus de 500 millions de dollars de bitcoins, et qu'il avait aussi été utilisé par des groupes de rançongiciels malveillants russophones, notamment Trickbot, Conti, Ryuk, Sodinokibi et Gandcrab.
Blender.io, qui a fermé mais que la Wayback Machine avait archivé, expliquait disposer d'importantes réserves de bitcoins, permettant à ses clients d'échanger la même quantité que ceux qui lui sont envoyés « sans avoir à attendre les bitcoins d'un autre client ». Et ce, en contrepartie d'une commission pouvant aller de 0,6 à 1,9 % en fonction du montant des opérations, « + 0,0003 BTC pour chaque adresse » cible.
Afin de garantir leur anonymat, Blender confiait en outre à chacun de ses clients un code unique, de sorte qu' « il n'y a aucune probabilité pour qu'un client reçoive ses propres bitcoins » à l'occasion de futures transactions.
Sa FAQ précisait qu'il ne gardait aucun log des transactions, et que toutes les données étaient effacées après les transferts de fonds.
Un anonymiseur (encore) trahi par ses factures
En octobre 2020, le Financial Crime Enforcement Network (FinCEN) du Trésor avait de son côté infligé une amende de 60 millions de dollars à l'encontre de Larry Dean Harmon, propriétaire et exploitant d'un autre mélangeur de devises virtuelles, Helix, pour violation de la loi sur le secret bancaire (BSA).
Le FinCEN lui reprochait d'avoir, entre juin 2014 et décembre 2017, « effectué plus de 1 225 000 transactions pour ses clients et [avoir] envoyé ou reçu plus de 311 millions de dollars », tout en ayant « délibérément violé les exigences d'enregistrement, de programme et de déclaration de la BSA en ne s'enregistrant pas en tant qu'entreprise de services monétaires (ESM), en omettant de mettre en œuvre et de maintenir un programme efficace de lutte contre le blanchiment d'argent et en omettant de déclarer les activités suspectes » :
« Plus précisément, l'enquête a démontré que M. Harmon [...] a notamment omis de collecter et de vérifier les noms, adresses et autres identifiants des clients pour plus de 1,2 million de transactions [et] activement supprimé même les informations minimales sur les clients qu'il avait recueillies. »
L'enquête avait en outre révélé que M. Harmon « effectuait des transactions avec des trafiquants de stupéfiants, des contrefacteurs et des fraudeurs, ainsi qu'avec d'autres criminels ».
En avril 2021, Roman Sterlingov, 32 ans, possédant la double nationalité russe et suédoise, avait par ailleurs été arrêté à l'aéroport de Los Angeles pour avoir transféré « plus de 1,2 million de bitcoins, d'une valeur d'environ 335 millions de dollars au moment des transactions », dans Bitcoin Fog, le plus ancien des mixeurs de crypto-monnaies.
Le communiqué du ministère de la Justice américain précisait que « la majeure partie de cette crypto-monnaie provenait de places de marché du darknet et était liée à des stupéfiants illégaux, à des activités de fraudes, d'abus informatiques et vols d'identité ».
Ironie de l'histoire, relevait Wired, Sterlingov avait été identifié « en utilisant le même type d'analyse de la blockchain que son propre service était censé déjouer ». Il avait payé son hébergeur avec des bitcoins qu'il avait acheté en euros sur une plateforme, Mt. Gox, où il avait créé un compte sous sa véritable identité :
« Selon l'IRS [Internal Revenue Service, le fisc américain, ndlr], le suivi de ces transactions financières a permis d'identifier des comptes Mt. Gox qui utilisaient l'adresse et le numéro de téléphone du domicile de Sterlingov, et même un compte Google qui contenait un document en russe sur son Google Drive donnant des instructions sur la manière d'obscurcir les paiements en bitcoins. »
Les trois principaux types de mixeurs
Techniquement, les mixeurs de crypto-monnaies visent à « blanchir » celles qui seraient potentiellement identifiables ou « contaminées » avec d'autres, afin d'obscurcir la source d'origine des fonds, et empêcher les autorités ou les sociétés comme Chainalysis de pouvoir identifier à qui et où elles sont finalement transférées.
Chainalysis explique qu'il existe principalement trois types d'anonymiseurs. Les mixeurs centralisés, qui se contentent d'échanger les crypto-monnaies de leurs différents clients, « ce qui crée un risque pour la vie privée de leurs utilisateurs », à mesure qu'il reste possible de suivre les flux et connexions de données.
Les mixeurs « ConJoin », expliquait Blender.io, permettent pour leur part le regroupement des transactions de plusieurs utilisateurs, tant en entrée qu'en sortie, de sorte qu'il soit « impossible d'établir une connexion entre une "entrée" et une "sortie" particulières ».
Enfin, les mixeurs à base de contrats intelligents (« smart contracts ») fonctionnent un peu comme un dépôt bancaire attestant de la somme déposée, que le déposant pourra retirer quand il le voudra par la suite sur d'autres portefeuilles, « sans historique de transaction ni connexion à d'autres services ».
Chainalysis relève cela dit que les mixeurs « partagent une vulnérabilité clé : les transactions importantes les rendent inefficaces ». Si un utilisateur apporte une contribution nettement supérieure à celle des autres, « une grande partie de ce qu'il reçoit est constituée des fonds qu'il a apportés à l'origine, ce qui permet de remonter à la source des fonds ».
Ce pourquoi Blender.io utilisait son système de code unique destiné à éviter ce risque de désanonymisation. Chainalysis souligne en tout état de cause que « les mixeurs fonctionnent mieux lorsqu'ils comptent un grand nombre d'utilisateurs, mélangeant tous des quantités comparables de crypto-monnaies ».
Deux fois plus de transactions qu'il y a un an
« Pour être clair, il y a des raisons légitimes » à l'utilisation de mixeurs, rappelle cela dit Chainalysis :
« La confidentialité financière est importante, en particulier pour les personnes qui vivent sous des gouvernements oppressifs ou qui ont besoin de pouvoir effectuer des transactions légales de manière anonyme. »
Notre article sur les offres d'emploi de la DGSI notait que le service de contre-espionnage français recrutait à cet effet plusieurs chargés de mission « experts en cryptomonnaies et en ingénierie financière », chargés de « la mise en œuvre d'anonymisation via les crypto-monnaies », du « développement d'un applicatif permettant un traitement semi-automatisé des anonymisations », ainsi que de la restitution d'informations comptables et des « demandes d’achats démarqués, notamment sur les crypto-monnaies ».
Pour autant, la fonction principale des mixeurs « les rend naturellement attrayants pour les cybercriminels », d'autant qu' « ils ne demandent que rarement, voire jamais, d'informations KYC » (pour Know Your Customer), du nom donné au processus permettant de vérifier l’identité des clients d’une entreprise afin de prévenir l'usurpation d'identité, la fraude fiscale, le blanchiment d'argent et autre financement du terrorisme.
Chainalysis estime que « près de 10 % de tous les fonds envoyés à partir d'adresses illicites sont envoyés à des mixeurs ». S'il estime qu'il « pourraient bientôt devenir obsolètes », à mesure qu'il améliore ses process de désanonymisation des crypto ainsi mixés, « pour l'instant, nos données montrent que les mixeurs reçoivent plus de crypto-actifs que jamais en 2022 ».
La moyenne mobile sur 30 jours des valeurs reçues par les mixeurs a en effet « atteint un sommet historique de 51,8 millions de dollars en crypto-monnaies le 19 avril 2022, soit environ le double des volumes entrants au même moment en 2021 ».
Chainalysis relève en outre une forte augmentation du montant des sommes versées dans les mixeurs, qui ont plus que doublé à partir de 2021, la proportion de flux illicites ayant eux-mêmes doublé au second trimestre 2022, passant de 12 à 23 % du total.
