Sur le papier, il suffit de suivre la blockchain. Oui mais laquelle? Les polices le savent: avec les crypto actifs, elles ont sous la main un outil précieux en termes de traçabilité pour suivre le cheminement des fonds suspects. Mais si des enquêtes célèbres ont permis de confondre des suspects, il est parfois bien laborieux de suivre le parcours des cryptos sur les grands registres publics que sont les chaînes de bloc.
Dans son dernier rapport annuel sur la cybercriminalité, l’agence de police européenne Europol détaille ainsi un cheminement particulièrement tortueux, un “cas complexe” repéré dans une enquête. L’enjeu pour les pirates? Utiliser des techniques d’obscurcissement pour dissimuler le trajet des crypto-actifs avant leur envoi vers une plateforme d’échange, l’une des façons les plus simples pour eux de mettre la main concrètement sur le butin.
Un vol de BNB
L’exemple présenté par Europol est relatif à la traque de BNB, le jeton du géant des cryptos Binance, volés après le piratage d’une plateforme de finance décentralisée. Après avoir fait main basse sur les jetons, les attaquants vont les changer en bitcoin via RenProject. Ce genre de “pont crypto” permet de convertir facilement des monnaies virtuelles. Ce protocole a déjà été épinglé par le spécialiste de la blockchain Elliptic, qui estimait l’an passé qu’en deux ans d’activité l’outil avait été utilisé pour blanchir au moins l’équivalent de 540 millions de dollars.
Une fois changés en bitcoin, les crypto-actifs sont envoyés dans un mélangeur. Ce qui implique, note Europol, un travail de démixage pour les enquêteurs, “une tâche complexe” et chronophage. A la sortie du mélangeur, les fonds prennent ensuite deux directions différentes, comme s’ils avaient été partagés. Un cas de figure classique, rappelle l’agence de police, dans les affaires de rançongiciel, où le butin est partagé entre les opérateurs de l’infrastructure et l’affilié qui a mené l’attaque.
Tornado Cash
Revenons à notre exemple. Certains des bitcoins sont alors convertis en Ethereum, à nouveau via le protocole RenProject. D’autres, toujours via ce protocole, sont convertis en BNB, puis en Bitcoin et enfin en Ethereum. Mais ce n’est pas fini. Les deux flux de crypto sont tous les deux dirigés alors vers Tornado Cash, un service de mixage bien connu dans le viseur de l’administration américaine.
La présentation d’Europol s’arrête là. On ignore si les enquêteurs ont réussi à poursuivre la traque de l’argent sale après cette dernière étape. L’agence de police européenne souligne toutefois qu’il est courant de voir plusieurs techniques d’obscurcissement déployées les unes après les autres. Ce qui “ralentit les enquêtes”, précise-t-elle. Mais sans forcément les arrêter…