Comment les cybercriminels blanchissent la cryptomonnaie

Mixeurs de cryptomonnaie, échanges imbriqués, encaissement et autres méthodes utilisées par les opérateurs de rançongiciels pour blanchir la cryptomonnaie.

On ne peut pas dire que la cryptomonnaie soit un moyen de paiement anonyme. Après tout, toutes les transactions (enfin presque toutes, nous y reviendrons) sont écrites sur la blockchain et les mouvements de cryptomonnaie sont assez faciles à suivre. Certains outils d’analyse spécialisés sont assez faciles et pratiques à utiliser, et permettent de localiser la source et la destination des fonds.

Conscientes de cette situation, certaines victimes de rançongiciels considèrent qu’il vaut mieux payer la rançon, reprendre le contrôle des ressources de leur entreprise puis aller aux forces de l’ordre et attendre que l’enquête suive son cours ; dans l’espoir que les fonds reviennent sur leur compte.

Malheureusement, les choses ne sont pas si simples. Les cybercriminels ont inventé plusieurs outils, techniques et services qui compensent la transparence excessive de la blockchain. Ces méthodes rendent plus difficile voire impossible le suivi des transactions en cryptomonnaie. C’est ce dont nous allons parler aujourd’hui.

Des portefeuilles de cryptomonnaie intermédiaires

La chose la plus simple que les cybercriminels peuvent faire avec la cryptomonnaie est de la répartir entre plusieurs portefeuilles faux. Dans le cas d’opérations à très grande échelle, comme le piratage de BitFinex ou le vol de Sky Mavis, on parle sûrement de plusieurs milliers de faux portefeuilles.

Étant donné que toutes les transactions sont tout de même écrites sur la blockchain, l’utilisation de faux portefeuilles ne résout pas le problème du suivi des fonds. Ainsi, cette technique n’est généralement utilisée que dans les premières étapes du blanchiment d’argent afin de d’abord brouiller les pistes, puis de séparer de grandes sommes en d’autres plus petites, qui peuvent alors être blanchies plus facilement à l’aide d’autres techniques.

La cryptomonnaie peut rester longtemps dans ces faux portefeuilles. Cela est parfois dû à l’avidité des cybercriminels qui attendent d’avoir un meilleur taux de change. Dans le cas de transactions assez importantes pour attirer l’attention des forces de l’ordre, ils sont simplement prudents. Les escrocs essaient de faire profil bas jusqu’à ce que cette surveillance diminue et que les fonds puissent être facilement retirés.

Des mixeurs de cryptomonnaie

Les mixeurs de cryptomonnaie ont été inventés expressément dans le but de résoudre les problèmes mentionnés ci-dessus, à savoir l’excessive transparence de la blockchain et le manque de confidentialité. Ils fonctionnent de cette façon : les virements entrants de cryptomonnaie sont versés dans un seul « pot » et soigneusement mélangés avec les fonds envoyés par d’autres utilisateurs du service. En parallèle, ils effectuent des virements sortants à n’importe quel moment, avec un montant choisi au hasard et vers des portefeuilles complètement différents, ce qui rend impossible de faire correspondre les sommes entrantes et sortantes, et donc d’identifier les transactions.

Il est évident que cette méthode est particulièrement efficace lorsqu’il s’agit de traiter de la cryptomonnaie sale. Même si les cybercriminels ne sont pas les seuls à utiliser les mixeurs de cryptomonnaie, les fonds illégaux représentent tout de même une part importante des flux qui entrent dans les mixeurs de cryptomonnaie. Elle est si significative qu’en 2022 les régulateurs américains ont finalement décidé de s’en prendre à eux et ont sanctionné pas un mais deux mixeurs de cryptomonnaie connus.

Les grandes plateformes d’échange de cryptomonnaie

La grande majorité des transactions effectuées sur des plateformes d’échange de cryptomonnaie se font entre les comptes de clients internes, et ne sont exclusivement enregistrées en détail que dans les bases de données de ces plateformes d’échange. Seuls les résultats résumés de toute une série de transactions internes de ce genre sont sur la blockchain.

Évidemment, ce système fonctionne de cette façon afin d’économiser du temps et de l’argent, puisque la bande passante de la blockchain est limitée. Cela signifie que n’importe quel échange de cryptomonnaie ressemble à un mixeur de cryptomonnaie naturel : les virements entrants et sortants ne peuvent pas correspondre si vous n’analysez que la blockchain. Le filetage qui permet de suivre le mouvement des fonds s’interrompt lorsqu’une transaction entre dans une plateforme d’échange.

D’une part, cela facilite les activités illégales. D’autre part, ça accroît considérablement les risques : en transférant les fonds vers une plateforme d’échange plus importante, les cybercriminels n’ont plus un contrôle complet. Étant donné que ces échanges coopèrent généralement avec les régulateurs et les forces de l’ordre, les chances de perdre leur butin sont bien supérieures à zéro. De plus, les plateformes d’échange de cryptomonnaie de bonne foi ont toujours une procédure de vérification de connaissance client (KYC, Know Your Customer en anglais) qui rajoute des risques et des difficultés au blanchiment des fonds.

Les petites plateformes d’échange de cryptomonnaie

Une autre option consiste à utiliser de petites plateformes d’échange de cryptomonnaie qui sont moins susceptibles de répondre aux exigences réglementaires et se définissent comme anonymes. Ces plateformes d’échange sont généralement de véritables plateformes de blanchiment de cryptomonnaie.

Plus une plateforme d’échange est populaire auprès des cybercriminels, plus elle risque d’attirer l’attention indésirée des forces de l’ordre. En fin de compte, la patience des forces de l’ordre atteint ses limites et elles trouvent une façon de faire fermer la plateforme. Par exemple, plus tôt cette année, les autorités américaines ont interpellé le propriétaire de Bitzlato Ltd, une plateforme d’échange qui géraient des centaines de millions de dollars en cryptomonnaie. Une partie significative de cet argent sale venait d’opérateurs de rançongiciels et d’escrocs en cryptomonnaie. La police européenne a également saisi et désactivé l’infrastructure de cette plateforme d’échange et a mis un terme à son activité.

Les échanges imbriqués

En plus de ces véritables plateformes d’échange, on trouve aussi les échanges imbriqués. Il s’agit principalement de plateformes intermédiaires d’échange de cryptomonnaie qui permettent aux utilisateurs d’échanger de la cryptomonnaie sans avoir à enregistrer les comptes qui effectuent l’échange.

Ces services ressemblent à ceux des courtiers du monde entier en bourse traditionnelle, mais dans l’univers de la cryptomonnaie ils sont utilisés pour garantir la confidentialité des actions, notamment en déjouant la procédure KYC qui est obligatoire pour tous les utilisateurs de grandes plateformes d’échange de cryptomonnaie. En théorie, les échanges imbriqués fonctionnent pour les cybercriminels qui en tirent profit et attirent naturellement l’attention des personnes qui cherchent à répondre à certaines questions indésirables, notamment pour blanchir des gains mal acquis.

DeFi : des protocoles décentralisés

Enfin, une autre option s’offre aux escrocs qui cherchent à blanchir de la cryptomonnaie : l’utilisation de protocoles de finance décentralisée (DeFi). Ils sont au cœur des échanges automatiques et décentralisés de cryptomonnaie qui opèrent sur la base de contrats intelligents. Les avantages pour les cybercriminels sont évidents : les échanges décentralisés (DEX) ne vérifient pas le client et ne requiert pas la création d’un compte.

Un autre atout des DEX est que les propriétaires des fonds ont toujours un contrôle total sur l’argent, sauf s’il y a une erreur dans le contrat intelligent. Il est vrai qu’il y a tout de même un gros inconvénient : toutes les transactions basées sur un DEX sont écrites sur la blockchain, ce qui fait qu’elles pourraient être suivies en faisant quelques efforts. Par conséquent, le nombre de cybercriminels qui a recours aux protocoles de finance décentralisée est assez bas. Cela étant dit, la DeFi peut être un composant efficace en cas de techniques de blanchiment d’argent plus complexes qui se divisent en plusieurs étapes.

Les services de blanchiment sur le Dark Web

Si vous espérez encore qu’un escroc ne sache pas comment couvrir correctement ses traces financières, nous avons une mauvaise nouvelle. La cybercriminalité moderne est très spécialisée. Il y a dernièrement une tendance croissante de la part des cybercriminels à utiliser des services illégaux qui se consacrent exclusivement au blanchiment de cryptomonnaie. Ils fournissent ce qu’on appelle le blanchiment en tant que service, qui fait référence au SaaS : des variantes des stratégies décrites ci-dessus afin d’embrouiller les mouvements de la cryptomonnaie, et donc de soulager leurs clients de cette tâche.

Ces services de blanchiment d’argent sale s’annoncent sur le Dark Web et communiquent avec leurs clients via des services de messagerie sécurisés. Tout tourne autour d’un anonymat total. Selon quelques estimations modestes, ces services auraient engrangé 6 milliards de dollars l’an dernier.

L’encaissement

Comme vous le savez peut-être déjà, le paradoxe de la cryptomonnaie est que vous pouvez vous en servir pour acheter une image hors de prix d’un singe mais pas votre baguette. Ainsi, le but ultime de toute opération illégale en cryptomonnaie est d’encaisser les fonds. Il s’agit de la dernière étape de ce processus de blanchiment d’argent. Une fois que la cryptomonnaie s’est transformée en monnaie fiduciaire ordinaire, il est évidemment impossible de suivre les fonds en analysant la blockchain.

Les cybercriminels ont le choix entre diverses options, et certaines des méthodes décrites auparavant servent d’exutoire au monde réel. Lorsqu’il s’agit de retirer les fonds, vous pouvez utiliser les grandes et les petites plateformes d’échange, les échanges imbriqués qui permettent d’effectuer des opérations sans avoir de compte ou les services spécialisés de blanchiment d’argent promus sur le Dark Web qui cherchent à aider les cybercriminels (sans pour autant préciser comment).

Qu’est-ce que ça veut dire pour les victimes d’un rançongiciel ?

Comme vous pouvez le constater, les cybercriminels ont un vaste choix d’outils pour blanchir l’argent sale de la cryptomonnaie. Ils ne se contentent pas d’utiliser une seule des méthodes décrites à la fois. Au contraire, la plupart des cybercriminels emploient des opérations de blanchiment qui se divisent en plusieurs étapes et utilisent en même temps les mixeurs de cryptomonnaie, les portefeuilles intermédiaires, les échanges et plusieurs méthodes d’encaissement.

Par conséquent, malgré tous les efforts des forces de l’ordre, il est souvent difficile de récupérer les fonds volés, même si l’enquête aboutit. En résumé, ne vous attendez pas à revoir l’argent que vous avez versé pour payer une demande de rançon. Comme toujours, la prévention est la meilleure technique de défense. Installez unesolution de sécurité fiable sur tous vos appareils, une qui a montré de quoi elle est capable contre les rançongiciels lors de tests indépendants.

Conseils