Cryptos, circuits de blanchiment et DeFi : que nous dit le Rapport Tracfin 2021 ?
Alors que le gouvernement américain portait, avec perte et fracas, un coup d’arrêt au célèbre protocole de mixage Tornado Cash ce 8 août dernier, l’agence TRACFIN publiait son rapport annuel d’analyses typologiques relatifs aux flux financiers occultes et clandestins.
La publication de ce rapport était l’occasion d’apporter des éclairages sur l’arrêt de Tornado Cash à la lumière des nouveaux circuits permis par les crypto-actifs, et de savoir si, en France, un tel bannissement aurait pu être prononcé.
TRACFIN est l’agence française chargée de la lutte contre le blanchiment d’argent, le financement du terrorisme ainsi que contre la fraude fiscale et douanière (LCB-FT). C’est notamment grâce à ses travaux et recherches que la France recevait, en mai 2022, les honneurs du Groupe d’Action Financière (GAFI) en se voyant classée « au premier rang des pays luttant efficacement contre la criminalité financière ». Il ne faut toutefois pas crier cocorico trop vite : cette première place s’accompagne sans doutes d’un excès de zèle prudentiel, notamment vis-à-vis des acteurs du secteur, et responsable des trop nombreux refus d’ouverture de compte en banque pour les crypto-entrepreneurs français. Fin de l’aparté.
Afin de comprendre et d’agir sur les flux financiers clandestins, il faut tout d’abord les détecter, remonter les transactions et identifier les réseaux et opérations concernées. En effet, toute prise de décision quant à la fermeture d’un protocole, d’un site internet ou d’une société écran n’émane pas d’une simple suspicion mais suit un cheminement précis et balisé, en voici le schéma d’amorçage :
Côté crypto, les déclarations de soupçons ainsi que les communications émanent essentiellement des acteurs ayant le statut de PSAN (lors de l’analyse des transactions) ou des établissements bancaires (lors d’un doute sur l’origine des fonds). Les conseils (notaires, comptables, avocats etc.) peuvent également renseigner l’agence.
Après ce bref rappel quant au rôle de TRACFIN et sur son fonctionnement, concentrons-nous sur les schémas de blanchiment marquant identifiés en 2021. Signe de l’usage grandissant des crypto-actifs, le rapport 2021 comporte, dans le rubrique dédiée à l’ « analyse des circuits financiers clandestins », une partie intitulée « Désanonymiser, attribuer et anticiper les risques de “crypto-blanchiment” ».
Le cas typologique identifié par TRACFIN qui nous intéresse décrit la méthode de blanchiment d’actifs issus d’un rançongiciel (ransomware) même si l’origine des fonds à blanchir pourrait tout autant émaner du hack d’un protocole ou encore de tout autre procédé frauduleux destiné à voler les actifs d’un utilisateur.
La méthode de blanchiment suit quatre étapes :
“Le réceptionniste”
Une adresse est utilisée pour collecter les crypto-actifs volés ou extorqués. Les fonds ne restent que de quelques minutes à quelques jours sur cette adresse.
“Le spliteur”
Le réceptionniste effectue ensuite plusieurs transactions vers deux ou plusieurs adresses détenues par Le Spliter, lequel procède ensuite à la technique dite de “Peeling Chain” consistant à brouiller la lecture des historiques de transactions en fractionnant les montants en une multitude de transferts croisés et de faibles montants.
“Les collecteurs”
Il s’agit de plusieurs adresses sur lesquelles vont venir s’agréger les fonds transférés pendant la phase précédente. Ces adresses jouent le rôle de “Clusters” et réceptionnent le produits d’autres hacks, arnaques ou rançons. Lorsque le Cluster a reçu une quantité suffisante de jetons ou d’ actifs numériques identiques, vient la phase de blanchiment à proprement parler.
“Les blanchisseurs”
Ils reçoivent les fonds transférés depuis les Clusters pour procéder à des opérations de mixing ou de Conjoin. Dans une certaine mesure, les Blanchisseurs sont parfois eux-mêmes des services de mixing rémunérés en connaissance de cause par les escrocs ou les hackers. En effet, les analyses portant sur leurs transactions laissent apparaître d’importants volumes entrants et sortants, caractéristiques d’un tel service. Après cette phase de mixing, la trace des fonds est perdue. On peut supposer que les actifs sont échangés contre des monnaies ayant cours légal (FIAT).
Plusieurs observations peuvent être apportées sur cette étude de cas.
En premier lieu, il est possible de s’interroger sur le recours à la technique du “Peeling Chain”. En effet, quel serait l’intérêt pour les Splitters de brouiller l’adresse d’origine des fonds dès lors qu’à la fin du processus de blanchiment, les actifs sont amenés à être mixés, notamment avec l’aide de protocoles complices. La technique du Peeling Chain s’avère toutefois la plus répandue et la plus efficace pour contourner les outils d’analyse on chain lorsque les fonds sont amenés à transiter vers des prestataires réglementés ou simplement honnêtes. A ce titre, lors du hack de Curve Finance il y a peu, l’exchange Fixed Float (jouant le rôle involontaire du Blanchisseur dans notre cas) a pu geler la transaction de l’adresse identifiée comme à l’origine de l’attaque. Si le(s) hacker(s) avaient procédé comme le cas décrit par TRACFIN, il est possible que l’usage de cet exchange centralisé quelques semaines, ou mois plus tard par une adresse Cluster et après un Peeling efficace, aurait sûrement permis le blanchiment des fonds.
En second lieu, l’analyse ne permet pas d’identifier la dernière phase du blanchiment permettant d’échanger les crypto-actifs contre des monnaies fiat. Or il s’agit bien ici du point le plus important, sans lequel le mixage reste une simple couche d’anonymisation. Vraisemblablement, on peut supposer que le retrait passe par l’intermédiaire d’exchange ou par transactions d’égaux à égaux (P2P). Lorsque les retraits passent par des PSAN français ou étrangers, les contrôles opérés sont censés permettre d’identifier les transactions suspectes, que les fonds aient été mixés ou pas selon les canons de contrôles opérés par les utilisateurs (KYC, pays à risques, listes de gel des avoirs ou encore la récurrence et volume des dépôts et retraits). S’agissant des retraits par le recours à des transactions P2P, ce mode de blanchiment rejoint la typologie classique des circuits de financement clandestins ou occultes (fausses factures, protocole de transaction juridique etc.) et pour lesquels l’usage des actifs numériques, de part la grande transparence apportée par une blockchain, n’apparaît pas plus avantageux que le recours à d’autres marchandises ou services fictifs.
Et Tornado Cash dans tout ça ?
Comme nous avons pu le voir, les protocoles et services de mixing ou de coinjoin participent, avec d’autres techniques, à un ensemble plus large de blanchiment de capitaux et de fraude fiscale. Au même titre que, dans une certaine mesure, les banques, les prestataires financiers ou encore l’argent liquide. Pour autant, la solution serait-elle donc de supprimer tous les maillons participants, à tort, à des circuits de blanchiment? Après tout, s’il n’y avait plus de PSAN, il n’y aurait plus d’entrées de sorties aussi facilitées pour les “Blanchisseurs”. Très vite, le raisonnement trouve sa limite et, à force de recours à la réglementation toujours plus stricte, c’est l’interdiction qui triomphe.
Pourtant, à l’image des travaux de TRACFIN, c’est bien par l’analyse des flux, des acteurs et de leurs outils qu’il est possible, à terme, de mettre en place une réglementation respectueuse des droits des utilisateurs de bonne foi, lesquels ne devant pas subir les conséquences d’un comportement qui fut toujours, et restera minoritaire.
En ce sens, nous pensons pouvoir estimer, un peu naïvement, que Tornado Cash n’aurait pas été banni sur le fondement de sa simple utilisation par des utilisateurs mal intentionnés. En effet, l’UE semble avoir pris le parti de préférer le contrôle plutôt que l’interdiction et ce, notamment, en envisageant par le règlement MiCA l’assujettissement de tous les protocoles qui en remplissent les conditions aux règles applicables aux PSAN. A ce titre, et consécutivement au bannissement de Tornado Cash, il apparaît que certains protocoles aient devancés les régulateurs en restreignant l’accès à des adresses ayant utilisé des mixeurs.
Du point de vue de la lutte contre le blanchiment d’argent, le financement du terrorisme ainsi que contre la fraude fiscale et douanière, le paquet législatif proposé par la Commission européenne entend appliquer la recommandation n°16 du GAFI (dite “Travel Rule”), laquelle prévoit l’identification et la vérification d’identité du donneur d’ordre ainsi que le recueil des informations sur le bénéficiaire et le contenu de la transaction pour tous les transferts en crypto actifs dès le premier euro. Cette mesure s’ajoutant à l’interdiction (de principe) des comptes dits “anonymes” ou les fameux unhosted wallets.
Bien que ces mesures aient fait couler beaucoup d’encre et témoignent d’une application inadaptée des règles bancaires et financières classiques aux opérateurs du marché des crypto-actifs, elles ont le mérite de démontrer l’intention, bien que malavisée, d’intégrer pleinement les actifs numériques et ses avantages au monde traditionnel de la finance. Là où le gouvernement américain a préféré l’interdiction et le bannissement arbitraire. Néanmoins, le dénominateur commun à ces deux formes de réponses reste la réaction à chaud plutôt que la réflexion éclairée.
On ne peut donc qu’espérer l’émergence d’un champ réglementaire rationalisé pour l’avenir de ces protocoles et de toute la DeFi en général.
Rédigé par Hugo M, Directeur Juridique de White Loop.
À propos de White Loop Capital
White Loop Capital est le premier fonds d’investissement privé spécialisé dans les crypto-actifs en France. WLC sélectionne les projets les plus innovants destinés à perdurer dans l’écosystème blockchain, pour les accompagner tout au long de leur développement en leur offrant les moyens nécessaires à leurs réussites.
Visitez whiteloop.capital pour en savoir plus.
