Le 16 février 2023, la plate-forme de finance décentralisée Platypus se faisait siphonner l’équivalent de 8,3 millions d’euros sur l’un de ses « pools », une réserve de cryptomonnaie partagée mise à la disposition des investisseurs souhaitant échanger des actifs numériques. Ce jour-là, Mohammed M. a profité d’une erreur dans le code pour retirer l’intégralité des actifs, sans offrir la moindre contrepartie.
Les piratages de ce type ne sont pas une rareté dans ce secteur de la finance décentralisée, qui propose d’automatiser les opérations sur les cryptomonnaies comme l’achat, la vente ou le prêt au moyen des technologies de la blockchain, éliminant le recours à un intermédiaire humain. Car le revers de la médaille est que la moindre faille dans la rédaction des programmes qui régissent le fonctionnement de ces services, les « smart contracts », peut être exploitée pour dérober des fonds.
C’est un coup de fil de la bourse d’échange de cryptomonnaies Binance qui a mis les enquêteurs de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de communication sur la piste. En l’espace de quelques jours, ils sont parvenus à analyser les flux financiers et à identifier deux frères, Mohammed et Benamar M., interpellés le 24 février à Aubervilliers (Seine-Saint-Denis). Mohammed M. est alors mis en examen pour accès et maintien dans un système de traitement automatisé de données, escroquerie et blanchiment, tandis que son frère est accusé de recel.
La défense du « hacker éthique »
Huit mois plus tard, le 26 octobre au tribunal de Paris, Mohammed M. ne conteste pas les faits mais affirme avoir agi de bonne foi. Il se présente à la barre comme un « hacker éthique » ayant voulu « récupérer les fonds en danger de la plate-forme Platypus pour les restituer plus tard ». Il espérait tirer ainsi une « prime » versée par la société d’« environ 10 % de la somme totale ».
Cet autodidacte de 22 ans, sans diplôme ni formation mais avec un goût prononcé pour l’informatique et le monde des cryptomonnaies, assure avoir trouvé la faille par hasard, en « cherchant à comprendre comment le protocole fonctionnait ». En observant la manière dont s’articule le système de prêts de Platypus, il observe alors une erreur dans le code source de la fonction de « retrait d’urgence ». Et c’est cette faille, par un tour de passe-passe avec une autre plate-forme de cryptomonnaie, qu’il pense alors pouvoir exploiter.
Il y a d’abord plusieurs tentatives infructueuses. A la suite d’une maladresse de sa part, l’équivalent de 7,8 millions d’euros reste ainsi bloqué dans un portefeuille aujourd’hui complètement inaccessible à quiconque. Mais il parvient finalement à extirper l’équivalent de 263 000 euros en cryptomonnaies, qu’il envoie vers un portefeuille dont il a le contrôle. Ce butin est alors rapidement disséminé : une partie des fonds est échangée et répartie sur différents portefeuilles, une autre est envoyée vers un service d’anonymisation (ce qu’on appelle un « mixer »), une dernière enfin, l’équivalent de 12 000 euros, est transférée à son frère, Benamar M.
Il vous reste 35% de cet article à lire. La suite est réservée aux abonnés.