Comment atténuer les risques liés aux cryptomonnaies grâce à une stratégie de conformité fondée sur les données ?

Nombreux sont ceux qui s’inquiètent des risques liés aux cryptomonnaies. En effet, celles-ci sont régulièrement soupçonnées de financer des activités liées à la criminalité financière voire au terrorisme. Ces accusations se heurtent pourtant à une réalité factuelle : le pseudonymat, et non l’anonymat, des blockchains.

Il est en effet possible de tracer avec certitude l’ensemble des transactions en actifs numériques réalisées sur une blockchain. Certes, décoder les clés publiques des utilisateurs pour y rattacher un nom est un long et difficile travail mais cela est tout à fait réalisable, comme l’a prouvé l’affaire Silk Road[1] en 2014 (détail partie 1).

En outre, les activités économiques licites bénéficient également de cette relative transparence des blockchains, qui permet de comprendre et d’analyser les mouvements de fonds transitant par le Bitcoin (BTC), l’Ether (ETH) et les autres grandes cryptomonnaies.

Ainsi, les données liées aux transactions entre adresses publiques, enregistrées sur blockchain, représentent une aide précieuse pour mettre à jour des activités criminelles.

La transparence, outil majeur pour analyser les données d’une blockchain

Les fondamentaux de la transparence appliquée à la technologie blockchain

Si les données des blockchains peuvent avoir certaines variantes en fonction de celle considérée, elles présentent néanmoins une structure commune issue de la cryptographie asymétrique, à savoir qu’elles nécessitent toutes l’utilisation d’une clé privée et d’une clé publique. La clé privée est connue de son seul détenteur et permet d’authentifier et de valider les transactions réalisées sur la blockchain en question. Toutefois, pour l’analyse des données des blockchains, la clé privée n’a aucune importance, car ce n’est pas l’authentification des transactions qui est recherchée, mais leur auteur.

La clé publique représente l’adresse visible du titulaire d’un portefeuille de crypto-actifs. Cette clé permet à son détenteur de recevoir des cryptomonnaies de toute personne ayant ses coordonnées. Pour faire une comparaison un peu simpliste, cela correspond au RIB du titulaire d’un portefeuille d’actifs numériques.

C’est sur l’analyse des mouvements liés à ces clés publiques que s’est spécialisée Chainalysis, une entreprise américaine fondée en 2014. Ses services sont notamment utilisés par les autorités judiciaires de nombreux pays à des fins d’enquête et de conformité, afin de tracer certaines activités liées aux blockchains et de potentielles transactions illicites en cryptomonnaies.

Toutefois, contrairement à ce que beaucoup pourraient penser, le taux de transactions illicites en cryptomonnaies est extrêmement bas. Chainalysis a par exemple pu déterminer que, pour le seul Bitcoin, ce taux s’élevait à 6 % en 2019 contre moins de 2 % en 2020 et 2021. Si le taux est objectivement bas, cela représente environ dix milliards de dollars. La raison est simple : la blockchain Bitcoin n’est pas anonyme et toute transaction peut être pistée a posteriori.

L’analyse des données de la blockchain au service d’enquêtes judiciaires

Contrairement à une idée encore trop répandue, l’analyse des données des blockchains n’est pas quelque chose de complexe, si tant est que l’on est formé et que l’on dispose des outils adéquats. Ainsi, il est tout à fait possible d’y démanteler des réseaux criminels.

L’exemple topique est l’affaire Silk Road. Ses particularités ? La vente de produits interdits (drogue, armes à feu) payés en Bitcoin, qui semblait alors plus anonyme que le dollar. Cependant, c’est par une analyse approfondie et complexe des données issues de la blockchain Bitcoin que le FBI a pu mettre la main sur son fondateur Ross Ulbricht et ainsi fermer définitivement la plateforme.

Silk Road est le parfait exemple du pseudonymat conféré par la blockchain. Lorsque les moyens d’analyse des données sont mis en œuvre, cette caractéristique permet une véritable traçabilité des mouvements de cryptomonnaies. Au contraire, les transactions en espèces sont, elles, réellement anonymes, si c’est le souhait des personnes impliquées dans l’échange. En effet, il n’y a pas de traçabilité dans l’utilisation des billets de banque, mais seulement dans leur origine grâce aux numéros de série.

Une autre affaire, qui n’est pas purement criminelle, concerne Mt. Gox, l’ancienne plateforme dominante d’échange de cryptomonnaies, déclarée en faillite à la suite d’un important piratage en 2014.

Willem van den Brandeler, chargé de compte chez Chainalysis, explique que la plateforme a pu pister une large partie des transactions douteuses liées à son piratage et a découvert qu’elles menaient toutes vers BTC-e, une plateforme russe, qui a pu être saisie par le FBI en 2017.

La casse du pseudonymat, la porte d’entrée vers la transparence des données des blockchains

Comment une société comme Chainalysis peut-elle identifier l’individu qui se cache derrière une adresse publique pseudonyme ? Willem van den Brandeler explique que l’algorithme conçu par la société permet de rattacher les adresses à des entités. Par exemple, l’adresse X est issue de la plateforme d’échange Y. En d’autres termes, Chainalysis peut casser le pseudonymat, condition indispensable à l’analyse des données des blockchains, et révéler l’identité de l’individu à l’origine du paiement.

Comment établir une approche fondée sur le risque en matière de cryptomonnaies ?

Une approche générale de la gestion des risques en matière de cryptomonnaies

La pandémie de Covid-19 a engendré une forte augmentation des cyberattaques et des arnaques liées aux cryptomonnaies. Ce phénomène est d’abord lié à la pandémie elle-même, car la majorité de la population, confinée, n’a utilisé que très peu d’argent liquide au profit des paiements en ligne, parfois donc en cryptomonnaies.

Néanmoins, souligne Willem van den Brandeler, les techniques d’attaques utilisées pendant la pandémie sont identiques à celles des arnaques pré-pandémie, à savoir l’imposture, l’extorsion et le hameçonnage (phishing). La grande majorité de ces arnaques utilisent les cryptomonnaies comme moyen de paiement.

Afin d’établir une approche de la gestion des risques en cryptomonnaies, il convient d’abord d’identifier les différents types de risques liés à l’utilisation de ces dernières. Joosep Vahtras, responsable du conseil en conformité de Chainalysis, estime qu’il y a tout d’abord un risque externe : il faut savoir sélectionner, parmi les entreprises liées aux cryptomonnaies, celles qui sont fiables et de confiance. Il y a ensuite un risque interne, à savoir s’il est effectivement important de travailler avec et/ou autour des cryptomonnaies au sein d’une entité.

Ainsi, travailler avec une plateforme d’échange enregistrée ou agréée et des fonds d’investissement dédiés aux projets blockchain, est tout à fait envisageable. En revanche, il vaut mieux éviter les plateformes non enregistrées, ainsi que les fournisseurs de moyens de paiement en cryptomonnaies fonctionnant en mode pair-à-pair de type finance décentralisée. La raison est simple : plus l’activité du partenaire est transparente et surtout conforme à la réglementation, plus le risque est mesuré. En effet, la finance décentralisée est tout à fait conforme au principe même de la blockchain. En revanche, elle navigue en dehors de toute régulation.

Dans le doute, une organisation peut aussi mener une enquête approfondie sur un fournisseur de moyen de paiement afin de vérifier son degré de probité. La connaissance de sa structure, des produits et services qu’elle offre ou encore les juridictions auxquelles elle est soumise, est indispensable. En cas de doute, un questionnaire peut être transmis au client potentiel afin de s’assurer de son intégrité. L’importance est de savoir comment se comporte l’entreprise en cas de doute sur des transactions et en matière de lutte contre le blanchiment d’argent.

Une approche détaillée de la gestion des risques en matière de cryptomonnaies

Selon Joosep Vahtras, certains signaux doivent alerter avant d’engager toute coopération avec un potentiel client exerçant dans le secteur des cryptomonnaies. Certains sont évidents, comme la suspicion de financement d’activités illégales, ou des sanctions prononcées par certaines juridictions. D’autres le sont beaucoup moins. On pense notamment à la pratique du mixage, sorte de brouillage numérique destiné à masquer l’origine ou la destination des cryptomonnaies.

Il est ensuite nécessaire de déterminer le seuil de risque auquel l’on s’expose. On peut alors considérer trois approches. La première, c’est l’approche par le montant échangé en équivalent « devise classique » : on estime par exemple que toute transaction inférieure à 2 000 $ ne peut être considérée comme risquée. La seconde, c’est l’approche par le seuil en pourcentage, en faisant du cas par cas. Enfin, la troisième est le nombre ou la fréquence des transactions.

Les deux dernières approches sont plus abstraites, et le seuil de tolérance au risque diffère selon le type d’entreprise. Aussi une transaction peut être considérée comme risquée par une approche, mais pas pour une autre. Par exemple, 10 000 transactions à 1 000 dollars pourront être considérées comme un risque pour la troisième approche, mais pas pour la première.

En d’autres termes, le seuil de risque peut être difficile à appréhender. Il dépend de l’ouverture au monde des cryptomonnaies et de l’approche au risque retenue. Or, la lecture nous permet de constater que les deuxième et troisième approches ne sont pas clairement définies. A partir de combien de transactions considère-t-on que le risque est important ? Quel seuil en pourcentage retenir ? La réponse à ces questions est impossible ou presque sans une approche in concreto.

La sécurité est également essentielle afin de savoir si le client potentiel applique les bonnes mesures lui permettant d’éviter toute cyberattaque. Il est ainsi possible de prendre connaissance de la documentation fournie par l’entité en question, d’autant plus lorsqu’elle a été fournie dans le but d’obtenir une licence d’autorisation délivrée par une autorité. C’est notamment le cas pour l’enregistrement Prestataire de services sur actifs numériques (PSAN) délivré par l’Autorité des marchés financiers et l’Autorité de contrôle prudentiel et de résolution en France.

L’approche fondée sur les risques en matière de cryptomonnaies se fait donc essentiellement au cas par cas. Si des critères sont généraux, la majorité est au contraire spécifique à chaque client ou, au mieux, à un secteur d’activité précis. Par exemple, l’approche du risque utilisée peut être différente pour une entité par rapport à une autre. De même, l’enregistrement auprès d’une autorité compétente est un critère pouvant être suffisant pour certains, grâce à la confiance conférée par ladite autorité.