Les enquêtes incontournables sur les crypto-monnaies de 2023 : Global

Nous avons parcouru le monde au cours de notre série "Must Know Crypto Investigations". Nous avons appris que les forces de l'ordre, dans toutes les régions du monde, s'efforcent d'empêcher les mauvais acteurs de tirer parti des nouvelles technologies. Mais la leçon la plus importante ? Les grandes enquêtes nécessitent une grande coopération au-delà des frontières et entre les secteurs public et privé.

Le dernier volet de cette série est consacré à quelques-unes des principales enquêtes mondiales de 2023 qui illustrent la coopération internationale en matière d'application de la loi.

1. Les autorités européennes et américaines ferment un service de mixeur utilisé par des acteurs illicites pour blanchir des milliards d'euros.

En mars 2023, les autorités allemandes et américaines, avec le soutien d'Europol, ont fermé ChipMixer, un service de mixeur o-monnaies qui facilitait le blanchiment d'argent à l'échelle internationale. 

Au cours de l'opération, les autorités allemandes ont saisi quatre serveurs et près de 44,2 millions USD en crypto-monnaie. Les autorités américaines ont également retenu plusieurs charges contre l'opérateur de ChipMixer, le ressortissant vietnamien Minh Quốc Nguyễn, et ont saisi deux domaines dirigeant les utilisateurs vers ChipMixer. Les autorités belges, polonaises et suisses ont également apporté leur soutien à l'affaire par le biais d'un échange d'informations facilité par Europol. Nguyễn aurait créé ChipMixer en août 2017, en se procurant des noms de domaine et des services d'hébergement en utilisant l'usurpation d'identité, des pseudonymes et des fournisseurs de courriels anonymes. 

Les mixeurs permettent aux utilisateurs de dissimuler l'origine de leurs fonds en mixeur crypto-monnaies appartenant à de nombreux utilisateurs. Cette technique peut être utilisée par des utilisateurs légitimes pour renforcer la sécurité et la confidentialité de leurs transactions, ainsi que par des acteurs illicites cherchant à brouiller les pistes des forces de l'ordre.

Dans le cas de ChipMixer, les enquêtes des autorités suggèrent que ChipMixer pourrait avoir facilité le blanchiment de bitcoins d'une valeur allant jusqu'à 3 milliards de dollars. TRM Labsconfirment que ChipMixer était largement utilisé par d'importants syndicats du Rançonlogiciel . "ChipMixer a été utilisé par certains des groupes les plus notoires et les plus sophistiqués de l'histoire du Rançonlogiciel. En particulier, le gang Royal Rançonlogiciel , qui a ciblé plus de 350 organisations dans le monde entier avec des demandes de rançon totalisant plus de 275 millions de dollars, était un utilisateur fréquent de ChipMixer", a partagé Callie Brutcher, analyste de Blockchain Intelligence chez TRM, et ancien membre de l'organisation Tactical Spécialiste tactique pour les enquêtes cybernétiques au Federal Bureau of Investigation États-UnisFBI. "Les attaques deRançonlogiciel sont largement motivées par des raisons financières. En démasquant leurs techniques et en s'attaquant aux outils utilisés par les syndicats pour blanchir des fonds, les forces de l'ordre perturbent les opérations de Rançonlogiciel et frappent les groupes là où ça fait le plus mal."

TRM a également constaté que ChipMixer était utilisé par au moins 20 places de marché du darknet (DNM) et certains vendeurs indépendants de drogues illicites, pour blanchir leurs produits illicites. Hydra, le plus grand marché du darknet au monde avant son démantèlement en avril 2022, a blanchi plus de 17 millions de dollars par l'intermédiaire de ChipMixer. Les DNM sont des plateformes de commerce mondial illicite multi-fournisseurs situées sur le "darknet", une section cryptée de l'internet qui n'est ni accessible à partir des navigateurs internet standard ni indexée par les moteurs de recherche, et sont l'épicentre du commerce de drogues illicites en ligne par le biais des crypto-médias. 

2. Le démantèlement à l'échelle mondiale d'une place de marché occidentale sur le darknet perturbe gravement le commerce de drogues illicites

En mai 2023, les services répressifs du monde entier ont porté un nouveau coup au commerce de drogues illicites en démantelant Monopoly Market, un DNM occidental. L'opération coordonnée par Europol a impliqué les autorités des États-Unis, du Royaume-Uni, de l'Allemagne, des Pays-Bas, de l'Autriche, de la France, de la Suisse, de la Pologne et du Brésil. Au total, 288 personnes ont été arrêtées dans neuf pays, parmi lesquelles des vendeurs et des acheteurs. 

Monopoly Market était lui-même un acteur relativement petit dans l'écosystème du DNM occidental, avec environ 1 200 inscriptions et un volume total de ventes d'environ 1,6 million de dollars sur quatre ans. Toutefois, l'affaire est importante en raison de son impact considérable sur le paysage occidental des DNM. Les autorités ont pu saisir plus de 53,4 millions USD en espèces et en crypto-monnaies, ainsi que de grandes quantités de drogues illicites et d'armes à feu chez les suspects arrêtés. Le volume global des dépôts dans les DNM occidentaux a également chuté d'environ un tiers à la suite de l'annonce du démantèlement du Monopoly. 

L'une des explications de cet effet d'entraînement apparent est que les vendeurs de DNM occidentaux ont tendance à être actifs sur plusieurs DNM à la fois. Cela leur permet de se constituer un flux de revenus régulier et multi-sources et de se prémunir contre le risque d'effondrement d'un seul MRN. Étant donné que certains vendeurs pris sur Monopoly Market étaient également susceptibles d'être actifs sur d'autres DNM, son démantèlement a entraîné une baisse des ventes et des volumes bien au-delà de la place de marché saisie.

"L'effet d'entraînement de cette perturbation montre à quel point le commerce illicite de drogues en ligne est interconnecté. Lorsque les forces de l'ordre sont en mesure de mener une vaste opération contre un seul réseau de trafiquants, en ciblant à la fois les vendeurs et les clients, il est possible d'obtenir un impact considérable, même si le réseau est de petite taille", explique Allan Liefke, enquêteur mondial chez TRM et ancien agent spécial de la Drug Enforcement Administration (DEA) des États-Unis. "La furtivité est un facteur important pour parvenir à un démantèlement aussi complet. Monopoly Market a été mis hors ligne en décembre 2021, mais la saisie n'a été annoncée que cette année. Les autorités auraient ainsi eu tout le temps de fouiller dans les données saisies pour identifier les vendeurs et les clients sans alerter les suspects."

3. La répression mondiale paralyse le marché en ligne des identités numériques volées

En avril 2023, une opération policière mondiale menée par le FBI et la police nationale néerlandaise et coordonnée par Europol a permis d'arrêter 119 suspects pour leur implication dans Genesis Market, une place de marché criminelle en ligne qui vendait principalement des identités numériques volées. Les autorités de 19 pays, de l'Amérique du Nord à l'Australie en passant par l'Europe, ont participé à l'opération. 

Genesis s'est spécialisée dans la vente de "bots" qui "annoncent et vendent des paquets d'identifiants d'accès à des comptes volés". Lors de l'achat, les acheteurs pouvaient accéder à toutes les données recueillies par le robot, y compris "les empreintes digitales, les cookies, les identifiants enregistrés et les données des formulaires de saisie automatique". Ils recevaient également un navigateur personnalisé qui leur permettait d'accéder aux comptes des victimes sans déclencher les mesures de sécurité. Plus de 1,5 million de bots étaient disponibles à la vente sur Genesis, pour un prix aussi bas que 0,70 USD par bot. 

L'analyse de TRM montre que Genesis a amassé près de 8 millions USD de revenus entre février 2018 et mai 2022. Genesis a reçu la plus grande part de ces fonds des services de paiement, des échanges de crypto-monnaies et des places de marché P2P de crypto-monnaies où les utilisateurs peuvent acheter, vendre et/ou échanger des actifs numériques en échange de monnaie fiduciaire.

"L'ampleur de l'usurpation d'identité monétisée sur Genesis était stupéfiante. Il hébergeait plus de 80 millions d'informations d'identification et d'empreintes digitales de plus de deux millions de personnes. Rien qu'au Royaume-Uni, des centaines d'utilisateurs ont été identifiés et 24 arrestations ont eu lieu", commente Michael Donegan, enquêteur mondial chez TRM et ancien officier supérieur de soutien opérationnel à l'Agence nationale britannique de lutte contre la criminalité. "En plus de rendre justice aux criminels, la saisie de Genesis a également permis aux forces de l'ordre d'identifier et de soutenir les victimes. Grâce à une initiative de la police nationale néerlandaise, le public peut vérifier en ligne si ses données ont été compromises et prendre des mesures pour se protéger.

Bien que l'opération ait paralysé les activités de Genesis, les forums du darknet suggèrent que certains serveurs restent fonctionnels et que ses administrateurs sont peut-être toujours en liberté. La manière dont les opérations de Genesis ont été organisées a probablement aussi posé des problèmes importants pour la saisie des actifs. Genesis utilisait un processeur de paiement tiers pour collecter les dépôts de ses clients. Comme les paiements étaient acheminés par une entité différente avec un serveur différent, la saisie des biens aurait été plus difficile que dans les situations où les paiements sont traités directement par la place de marché elle-même.

"Cette affaire met en lumière certains défis auxquels les enquêteurs sont confrontés lorsqu'ils ciblent le commerce électronique illicite", a ajouté M. Donegan. "Les outils deBlockchain intelligence comme TRM peuvent aider les enquêteurs à découvrir les interconnexions dans l'écosystème, et permettre de nouvelles perturbations."

4. Les autorités américaines et leurs partenaires internationaux démantèlent l'infrastructure d'un robot malveillant et saisissent des millions de crypto-monnaies illicites.

À la fin du mois d'août 2023, le FBI, en coopération avec les services répressifs du monde entier, a annoncé une perturbation proactive de l'infrastructure de Qakbot, une variante sophistiquée de logiciel malveillant et un réseau de zombies utilisés depuis 2008 dans le cadre d'activités cybercriminelles, notamment le Rançonlogiciel et l'exfiltration des données des victimes. Qakbot a été utilisé par de nombreux groupes importants de Rançonlogiciel pour infecter les ordinateurs des victimes et demander ensuite le paiement d'une "rançon" afin de supprimer le botnet des ordinateurs des victimes.

Cette vaste opération a permis de rediriger le trafic du botnet vers un serveur contrôlé par FBI , de supprimer le logiciel malveillant Qakbot des victimes infectées et de démanteler son infrastructure mondiale. Les autorités ont également pu saisir ou geler des produits illicites d'une valeur d'environ 8,6 millions d'USD en crypto-monnaie. 

"Comme la plupart des cybercriminels, Qakbot a évolué au fil du temps vers une utilisation assez exclusive des crypto-monnaies [...] en raison de l'anonymat qu'elles procurent et de la rapidité avec laquelle il est possible de transférer de la valeur à travers les frontières", a expliqué Bryan Smith, chef de section de la division cybernétique du FBI . "Nous avons utilisé un certain nombre d'outils d'Analyse Blockchain pour identifier les crypto-monnaies et les retracer à travers le monde [ce qui a permis la saisie]. "

Cette perturbation majeure est l'aboutissement de plus d'une décennie d'efforts d'investigation et de collaboration entre plusieurs agences, ce qui témoigne du pouvoir de la persévérance et du partenariat.

5. Une opération mondiale de lutte contre la cybercriminalité a permis de saisir plus de 100 millions de dollars de produits de la fraude aux cryptomonnaies

En décembre 2023, INTERPOL a annoncé la fin de l'opération HAECHI IV, une opération de police transnationale contre la criminalité financière en ligne. Cette opération de six mois, soutenue financièrement par la Corée et à laquelle ont participé les autorités de plus de 30 pays du monde entier, visait sept types d'escroqueries en ligne : hameçonnage vocal, escroquerie sentimentale, sextorsion en ligne, fraude à l'investissement, blanchiment d'argent associé aux jeux d'argent illégaux en ligne, escroquerie à la compromission de courriers électroniques professionnels et escroquerie en matière de commerce électronique. En particulier, 75 % des cas examinés par HAECHI IV tournaient autour de la fraude à l'investissement, de la compromission de courriers électroniques professionnels et de la fraude au commerce électronique.

Les autorités ont procédé à plus de 3 500 arrestations et saisi plus de 199 millions d'USD en espèces et 101 millions d'USD en Actifs Numériques. INTERPOL a également travaillé avec des policiers de première ligne et des VASP afin d'identifier 367 comptes d'actifs virtuels liés à la criminalité organisée transnationale. Les avoirs ont été gelés par les services de police compétents et les enquêtes se poursuivent.

"Avec les crypto-monnaies et l'internet, il n'y a plus de frontières pour les fraudeurs et les escrocs. Ils peuvent facilement cibler une victime à l'autre bout du monde et décentraliser leurs opérations dans plusieurs juridictions. Les opérations transnationales et inter-agences sont donc essentielles pour mettre fin aux fraudes et aux escroqueries", a déclaré Lisa Wolk, responsable des enquêtes mondiales chez TRM. "Les partenariats public-privé sont également essentiels. Les SVAV sont un point d'interruption clé car ils sont généralement le dernier arrêt sur la piste du blanchiment d'argent avant que les fonds ne soient reconvertis en monnaies fiduciaires. L'engagement des prestataires de services d'assistance aux victimes à mettre en place des contrôles de conformité rigoureux, ainsi qu'une coopération étroite avec les services répressifs, sont essentiels pour détecter et arrêter ces acteurs illicites."

Au vu de ces affaires, il est tout aussi clair que les frontières ne constituent pas un obstacle à la lutte contre la criminalité liée aux cryptomonnaies. L'année 2024 devrait poursuivre cette tendance : cette semaine, les autorités ont annoncé le démantèlement de LockBit, l'un des syndicats de Rançonlogiciel les plus prolifiques au monde, dans le cadre d'une opération mondiale. Avec une coopération aussi étroite et minutieuse au sein de la communauté internationale, d'autres perturbations à grande échelle se profilent à l'horizon.

Si vous êtes un agent des forces de l'ordre et que vous souhaitez développer vos compétences en matière d'enquête sur les crypto-monnaies grâce à l'apprentissage et au partenariat avec la communauté mondiale des forces de l'ordre, rejoignez notre groupe de travail réservé aux forces de l'ordre, LEO Labs, ici.