Les 7 péchés capitaux du Bitcoin - (3) Crimes et Blanchiment

Nous aborderons dans cette suite d’articles les grands points structurants et méconnus du bitcoin.

Alors, êtes-vous pour ou contre le bitcoin ?

Pour pouvoir se prononcer au-delà des débats idéologiques qu’ils soient à tendance crypto-anarchistes ou régulateurs zélés, et ayant été moi-même longtemps hésitant sur la posture à avoir, j’ai entrepris de creuser un certain nombre de caractéristiques sur le bitcoin qu’il faut absolument connaître pour pouvoir se prononcer objectivement.

Je partage donc avec vous ces quelques idées :

Sommaire des 7 articles

1. Une gouvernance bien trop humaine
2. Une répartition à faire pâlir Gini
3. Une machine à blanchir les capitaux
4. Une usine à CO2
5. To scale or not to scale ?
6. Les vautours de la spéculation
7. Un risque légal systémique

Voici donc le troisième problème, celui d’un risque porté par la nature même du bitcoin, un anonymat assumé dont profite le crime….

Zoom sur le péché n°3 - Savez-vous d’où viennent vos bitcoins ?

Chaque bitcoin est originellement créé par un miner qui a validé et publié un bloc. C’est la récompense du protocole pour les miners, ceux qui font tourner le réseau et assurent ses nombreuses propriétés disruptrices. Lorsqu’il naît, le bitcoin est issu du travail d’ordinateurs et est donc sous sa forme la plus pure : le fruit du labeur énergétique.

C’est lorsqu’il commence à être échangé que le bitcoin se teinte du reflet des activités humaines. Voici des exemples de transactions qui font bouger un bitcoin :

• Une transaction directe à travers un ami, une connaissance ou un particulier : les premières transactions historiques se sont déroulées de cette manière. On se rappelle les deux pizzas achetées à 10.000 BTC en 2010. Pour ce faire, il suffit simplement de disposer de l’adresse du destinataire et d’un logiciel client bitcoin capable d’envoyer un message de transaction à quelques miners (qui est alors broadcasté de proche en proche à tous les miners). La transaction peut être considérée acceptée après une dizaine de confirmations, soit à peu près une heure
• Une transaction sur une place de marché comme Binance, Coinbase ou autre qui proposent des interfaces simples d’utilisation et la possibilité d’en acheter avec des monnaies conventionnelles. On acquiert des bitcoins appartenant à la plateforme à travers d’autres personnes qui veulent revendre. Le vendeur et l’acheteur ne se connaissent pas
• Une transaction à travers d’un réseau secondaire de blockchain comme le layer 2 Lightning network qui permet d’effectuer des transactions très rapides à frais réduits avec des contreparties, cela sans avoir à les publier régulièrement sur la blockchain principale en échanges de garanties cryptographiques du bon vouloir des participants. Ces contreparties sont en général des acteurs plutôt de confiance avec lesquels il y aura fréquemment des échanges : Une chaîne de fastfood connue, une société de GAB/ATM de bitcoin ou un vendeur de software as a service… Cet acteur va donc ouvrir avec vous un “canal de paiement” pour faciliter ces échanges pour que vous puissiez payer ses services en bitcoin
• Une transaction à partir de services personnalisés comme des néo-néo-banques en Bitcoin qui proposeront des plans d’épargne ou des cold wallets pour sécuriser ses bitcoins. D’autres services existent comme les mixeurs de crypto-monnaie qui permettent de flouter l’origine de vos bitcoins ou des opérateurs qui facilitent le paiement transfrontalier pour les entreprises. En général, il faut leur faire confiance pour gérer votre crypto-monnaie
• Une transaction à travers un script programmé, ancêtre du smart contract des blockchains plus riches comme Ethereum ou Tezos. Ces scripts dans la blockchain du bitcoin ne permettent pas d’usages évolués mais peuvent gérer une programmation basique de transactions sur la base de plusieurs wallets (multi-signatures) ou en utilisant une programmation dans le temps

Il existe ainsi de nombreuses façons d’interagir avec la blockchain du bitcoin et certaines possibilités ont donné lieu à de nouveaux business models, les plus connus étant les exchanges de crypto.

Vos bitcoins sont donc probablement passés par une ou plusieurs de ces étapes mais vous n’avez aucun moyen de le savoir de manière sûre. Tout ce que vous voyez, c’est l’adresse source qui vous a envoyé vos bitcoins et de proche en proche les adresses source de cette adresse jusqu’à remonter à l’adresse d’un miner qui a produit le bitcoin que vous suivez. Les bitcoins comme toute forme de monnaie sont a priori fongibles, c’est-à-dire interchangeables. Mais contrairement à la monnaie fiduciaire, la traçabilité parfaite de la blockchain fait qu’il vous est possible de remonter la chaîne de blocs et donc de retrouver toutes les adresses d’où vos bitcoins ont pu provenir. C’est une fongibilité assez particulière, pas aussi parfaite que celle du cash.

Et c’est là que repose l’épée de Damoclès …

Chaque bitcoin peut avoir dans son histoire des actes graves et punissables par la loi

En échappant à tout contrôle centralisé, le bitcoin a rapidement été vu comme un moyen idéal d’effectuer des échanges de valeur pour des biens ou services répréhensibles : sur le marché noir Silk Road du Dark Web, il était possible d’acquérir toutes sortes de produits illégaux de 2011 jusqu’à la fermeture définitive du site et de ses spin-off en 2017. On estime le chiffre d’affaires cumulé de cette place à plus de 9,5 millions de bitcoins pour un total de commissions de plus de 600.000 bitcoins. Ces 9,5 millions de bitcoins ne sont probablement pas “uniques” dans le sens où on peut considérer qu’une grande fraction de ceux-ci étaient recyclés. Si par exemple 90% l’étaient (chiffre fantaisiste), cela veut dire qu’il y a 950.000 bitcoins à jamais teintés de transactions associées à de la drogue ou à des ventes d’armes, soit 6,5% des bitcoins totaux existants à l’arrêt de Silk Road.

L’ensemble des adresses salies par ce trafic sont connues des utilisateurs et à fortiori du FBI qui a démantelé ce réseau. Par conséquent, il est dans l’absolu simple de suivre ce que sont devenus les 9,5 millions ou à minima les 10% de ces bitcoins (en gardant le même ratio donné à titre d’illustration). Le bitcoin que vous avez acheté innocemment est peut-être teinté d’une activité illicite entre sa production initiale et son arrivée dans votre wallet. Je ne dis pas que vous êtes responsables de ce qui a été fait lors d’une transaction douteuse précédente, ni que vous êtes acteur dans un réseau de blanchiment d’argent. Simplement qu’un lien plus ou moins fort peut être tissé.

L’étude suivante considère qu’en 2019, près de 2,1% des transactions de bitcoin étaient liées à des activités criminelles, principalement des scams car ce sont les plus simples à identifier.

blog.chainalysis.com

Une autre activité qui a beaucoup profité du bitcoin comme système de paiement a été le ransomware. Il était auparavant difficile de se faire payer une rançon sans éveiller les soupçons mais c’est à présent plus simple car le ransomware n’a qu’à publier un message affichant une adresse récipiendaire du paiement. Les pirates attendent que le wallet associé se garnisse pour donner les clés de décryptage des infrastructures attaquées. 98% des ransomware utilisent maintenant le bitcoin comme moyen de rançon contre les sociétés (principalement des TPME), en augmentation forte (+337% entre 2019 et 2020).

Toutes ces activités sont identifiables car publiques. Les adresses de bitcoin utilisées peuvent être vues et analysées par un grand nombre de personnes dont les autorités concernées et les chercheurs sur cette thématique. Mais il existe sans aucun doute d’autres activités illicites difficiles à tracer : je pense notamment au blanchiment d’argent pour des activités illicites non pas crypto mais en monnaie fiduciaire.

Dès 2014, la question de l’utilisation des crypto-monnaies se posait déjà dans le cadre de la lutte contre le terrorisme dans l’étude suivante. Une autre étude plus récente (2021) indique que l’usage se répand mais reste à un niveau plutôt bas.

Although some websites affiliated with terrorist organizations have begun collecting Bitcoin donations, this practice appears to be relatively limited.

Europol, organisme européen de lutte contre la criminalité et le terrorisme, estime que 40% des transactions monétaires entre cyber-criminels se font en utilisant le bitcoin comme medium d’échanges. Le reste étant majoritairement Paypal. Tous les criminels ne sont certes pas cyber mais les avantages du bitcoin ont converti ceux qui sont familiers avec la technologie.

À quel point peut-on faire un lien entre votre bitcoin et son histoire ?

Pour se protéger de ce risque de blanchiment, il est plus ou moins possible de tracker les bitcoins dont on a identifié à un moment de leur vie une activité illicite. Par exemple en ayant des blacklist dynamiques d’adresses qui se mettent à jour selon le mouvement de ces bitcoins qu’on appelle teintés.

Cette notion de teinte est extrêmement importante dans le monde des crypto-monnaie car c’est une mesure du degré “non blancheur” en termes d’illégalité de la valeur stockée dans une adresse. La question essentielle étant : “Quel est le niveau de teinte du bitcoin que je reçois de mon ami, de tel exchange ou pire encore : de telle personne anonyme que je ne connais pas et qui m’a transféré une fraction de bitcoin sans aucune raison ?”

La teinte n’est pas noire ou blanche car le bitcoin se mélange à de l’argent “propre” au fur et à mesure qu’il est réutilisé. Par exemple :

1. 50 btc sont extorqués à une petite PME et envoyés sur une adresse A qui contenait déjà 50 autres btc qu’on supposera propres
2. L’adresse A (100 btc) envoie 10 btc à une adresse B qui contenait déjà 10 btc propres
3. L’adresse B (20 btc) veut envoyer 1 btc à une contrepartie

Quel est le niveau de teinte de ce bitcoin ?

Question difficile à laquelle il est possible de répondre de plusieurs manières selon les heuristiques choisies. En utilisant la notion de facteur de dilution, ici on pourrait pour l’exemple simple choisi dire que le btc envoyé de l’adresse B est à 25% teinté d’activité illicite. D’autres heuristiques moins sévères pourraient dire que la teinte doit diminuer exponentiellement à sa distance par rapport à l’activité illicite. Ou l’inverse, à savoir que la teinte doit être de 100%, c’est-à-dire que le 1er morceau de bitcoin illégal contamine totalement toutes les adresses qu’il touche. Dans ce cas extrême, le bitcoin deviendrait très rapidement illégal sauf pour une petite partie de transactions réfugiées.

Pour rendre le bitcoin plus anonyme, Satoshi suggérait dans son whitepaper page 6 aux individus de ne jamais réutiliser plusieurs fois la même adresse :

a new key pair should be used for each transaction to keep them from being linked to a common owner

Il en a même fait l’objet d’un post de forum dédié dans lequel il donne des conseils techniques pour garder un niveau d’anonymat maximal. La logistique nécessaire pour gérer une nouvelle adresse à chaque réception de bitcoin est plus complexe mais est gérée nativement dans les wallets standard actuels et permet de casser le lien entre personne et adresse lors des usages ultérieurs et ce de manière transparente pour l’utilisateur.

Une autre technique assez classique est d’utiliser un tumbler ou mixer de bitcoin. Ce genre de service va opérer comme un dilueur de teinte, c’est-à-dire casser le lien entre deux adresses ou bien off-chain (pour les tumbler anciens hébergés sur des plateformes centralisées) ou on-chain totalement décentralisés (pour les tumblers récents notamment ceux à base de smart contracts dit à divulgation nulle de connaissance qui seront une vraie épine dans le pied des régulateurs dans le futur). Prenons un exemple :

http://www.emeraldinsight.com/1359-0790.htm

Je dispose de 50 btc teintés à 100% d’une activité criminelle. Je peux les envoyer à un service mixeur comme Bitcoin Fog (qui n’existe plus à présent) qui va les stocker chez lui dans un grand nombre d’adresses vierges et me permettre de les retirer de manière fractionnée et sur une durée longue à partir d’adresses nouvelles. Le lien entre l’ancienne adresse et les nouvelles (que vous contrôlez) est connu du mixer mais n’apparaît pas sur la blockchain. Le bitcoin sur les nouvelles adresses hérite de la teinte moyenne du service de mixer, mais pas de la transaction source qui était de 100%. La traçabilité n’est pas impossible mais est rendue très difficile. Le service prend évidemment une commission (ici 1 à 3%) sur l’opération.

Une autre façon d’utiliser ce type de service est de noircir l’argent :

• Très simplement, un individu qui dispose de bitcoins obtenus de manière légale (par exemple d’un exchange autorisé aux Etats-Unis) peut vouloir utiliser son pécule pour des activités illégales. Il ne peut utiliser directement ses adresses et doit donc noircir son argent en cassant le lien avec lui tout en gardant le contrôle dessus. Le mixer répond aussi à ce genre de problématiques malheureusement.

Lorque le responsable de Bitcoin Fog a été arrêté en 2021, ce sont plus de 1,2 millions de bitcoin qui sont passés par ses services.

Les questions cruciales à se poser

L’un de ces bitcoins est-il en votre possession ? Quel est son niveau de teinte actuelle ? Êtes-vous conscient de tout cela ? Êtes-vous prêt à prendre ce type de risque ? Savez-vous qui est l’anonyme qui vous a envoyé votre dernier bitcoin contre un virement bancaire ? Savez-vous d’où proviennent ses bitcoins ?

La traçabilité est-elle une feature ou un poids dans un monde complexe où chacun cherche à cacher son activité pour des raisons plus ou moins légitimes ? En disruptant la gestion de la valeur dans un monde totalement digitalisé, la blockchain du bitcoin est-elle trop puissante pour notre monde trop fragile ? La blockchain du bitcoin apporte-t-elle de nouvelles features que nos systèmes socio-économiques ne peuvent pas digérer sainement ?

En réfléchissant au sujet, j’ai l’impression de retrouver les débats autour de la nécessité de légiférer sur l’introduction de backdoors dans les messageries cryptées end-to-end (comme telegram ou signal). Une technologie est parfois trop puissante pour être domptée dans un cadre légal de lutte contre les formes de crime. Et il faut alors se poser la question du cost-benefit de manière sereine et objective.

Ma conclusion personnelle

Au Maroc, c’est clair. La détention et a fortiori l’usage du bitcoin sont une infraction à la réglementation des changes. Le débat est ainsi clos.

Dans le monde occidental, et en l’absence de régulation ou de signal clairement négatif de la part des autorités (notamment américaines), je peux partir du principe qu’aujourd’hui la teinte de mes bitcoins ne me met pas en danger. Au pire je peux plaider l’ignorance et m’en sortir proprement si les lois changent et qu’elles deviennent rétroactives. Maintenant, cette crypto-monnaie originelle a-t-elle un avenir durable dans une société idéalement harmonieuse où les lois anti-blanchiment devraient être scrupuleusement appliquées ? Je ne sais pas et ne suis peut-être pas prêt à prendre l’un des risques cités.

Ceci étant dit, il reste évident que le cash est un vecteur bien plus important de blanchiment d’argent en volume. Mais la blockchain du bitcoin a un potentiel d’échapper au contrôle plus important si elle venait à imposer son usage crypto-monnaie au monde. Elle n’est pas aujourd’hui une blockchain de criminels mais est utilisée par des criminels comme tout système détourné. De plus, l’extrême majorité (99%) des transactions de crypto-monnaie en général se fait à travers les exchanges et c’est donc à eux que reviendrait a priori la responsabilité des contrôles.

Avec le recul, tout ceci peut paraître effrayant mais il faut nuancer. Il existe des blockchains bien “pire” que le bitcoin en termes d’anonymité (Zcash ou Monero) mais elles ne sont pas aussi robustes ni autant capitalisées que la mère des cryptos. J’y reviendrai peut-être dans un futur article mais personnellement il m’a paru important de faire apparaître ces informations à tous ceux qui voient dans le bitcoin un eldorado libertarien qui doit rester déconnecté de tout enjeu réglementaire ou sociétal. La blockchain est une bête sauvage dont il faut domestiquer (et non réprimer) les usages avec intelligence, sagesse et patience.

Sources

Quelques sources supplémentaires intéressantes :

• The dark equation of harm versus good means blockchain’s had its day
• Le jugement détaillé du FBI contre le fondateur de Bitcoin Fog, le mixer de bitcoin
• Une analyse statistique des ransomware et de leur utilisation de la crypto-monnaie
• Une autre analyse statistique des ransomware et de la tracabilité des bitcoins extorqués
• Excellente vidéo sur l’analyse de la traçabilité des bitcoins extorqués
• Bitcoin money laundering: mixed results ? An explorative study on money laundering of cybercrime proceeds using bitcoin
• Communiqué des institutions financières marocaines sur le bitcoin

Note

Cet article a uniquement pour but d’éclairer sur des aspects méconnus du bitcoin. Bien entendu, mes conclusions personnelles n’engagent que moi. Ne les prenez pas comme un conseil d’investissement :) Et je tiens à rappeler que je ne possède pas de bitcoin ce qui me permet de parler de manière plutôt objective sans aucun incentive financier.