Détective sur la chaîne : Comment TRM Labs a traqué 35 millions de dollars volés de LastPass jusqu'au réseau de cybercriminalité russe

Une récente publication approfondie de la société d’intelligence blockchain TRM Labs a révélé les conséquences à long terme d’une importante fuite de données en 2022 impliquant le gestionnaire de mots de passe LastPass, très connu. Le rapport indique que le montant de cryptomonnaies volé lié à cette faille a dépassé 3 500 000 dollars, et que les fonds ont été dirigés vers un groupe de cybercriminalité organisé en Russie. Fait notable, bien que les hackers aient utilisé des outils de confidentialité avancés tels que Wasabi Wallet et des services de mixage pour dissimuler leur trace, les analystes de TRM Labs ont réussi à reconstituer le processus de mélange des fonds en identifiant leurs caractéristiques comportementales uniques sur la chaîne, et ont tracé le flux final vers des plateformes de trading locales russes, notamment Cryptex et Audi6, dont seulement environ 700 000 dollars ont été transférés vers Audi6. Cette affaire ne constitue pas seulement une réussite en matière d’enquête sur la chaîne, mais met aussi en lumière le rôle clé que jouent certaines infrastructures cryptographiques régionales dans le blanchiment d’argent à l’échelle mondiale.

Une “saignée” numérique chronique sur plusieurs années

L’histoire commence avec la fuite de données mondiale de LastPass en 2022. À l’époque, ce gestionnaire de mots de passe comptant des millions d’utilisateurs a reconnu avoir été piraté, mais le danger n’a pas été écarté pour autant. Selon le dernier rapport de TRM Labs, les attaquants ont, dans les années qui ont suivi, exploité de manière systématique les identifiants volés pour vider les actifs stockés dans des portefeuilles de cryptomonnaies liés aux comptes compromis. Ce mode de vol progressif, plutôt que des transferts massifs en une seule fois, a initialement été difficile à détecter, ce qui n’a attiré l’attention qu’après que les pertes ont atteint plusieurs dizaines de millions de dollars.

Ces fonds volés ne sont pas restés inactifs. La traçabilité menée par TRM Labs montre que les hackers ont fait preuve d’un haut niveau de professionnalisme et d’organisation. Ils n’ont pas simplement transféré directement leurs ETH ou autres tokens vers des exchanges pour les convertir en fiat, mais ont mis en place un processus de nettoyage complexe. D’abord, ils ont utilisé des services d’échange instantané pour convertir diverses cryptomonnaies en Bitcoin, ce qui permettait de standardiser les actifs et de préparer leur utilisation avec des outils de confidentialité spécifiques à Bitcoin. Ensuite, les fonds ont été envoyés dans des mixeurs comme Wasabi Wallet ou via des protocoles comme CoinJoin. Ces services ont pour principe de mélanger de grandes quantités de fonds de différents utilisateurs pour rendre toute corrélation entre l’adresse d’entrée et celle de sortie impossible à établir, assurant ainsi l’anonymat des sources.

Cependant, cette opération apparemment parfaite a été trahie par la technologie d’analyse de la blockchain. Les chercheurs de TRM Labs ont découvert que, malgré l’utilisation d’outils de confidentialité, l’organisation laissait derrière elle une signature cohérente sur la chaîne. Cette signature ne se limitait pas à une simple association d’adresses, mais comprenait une série de comportements récurrents et reconnaissables, tels que la façon d’importer des clés privées dans certains logiciels, des habitudes de timing dans les transactions, ou encore des motifs spécifiques dans l’interaction avec des contrats intelligents. Par exemple, même si Wasabi Wallet est conçu pour garantir une forte confidentialité, l’analyse des comportements des utilisateurs lors de l’utilisation du logiciel peut révéler des métadonnées ou des schémas d’action qui trahissent leur identité. En combinant ces données apparemment sans lien, TRM Labs a réussi à reconstituer le processus de mélange, comme si l’on retrouvait le fil d’une pelote de laine complètement désordonnée en identifiant la texture et la couleur de chaque fibre. Ce rapport démontre que, face à des analyses avancées de la blockchain, l’anonymat offert par certains outils de confidentialité n’est pas absolu, surtout lorsque l’opérateur laisse des empreintes comportementales.

Ce progrès est d’une importance capitale. Il offre aux autorités une méthode efficace pour poursuivre ce type de criminalité, tout en alertant les malfaiteurs qui tentent de dissimuler leurs traces. Plus encore, il remet en question la véritable efficacité des technologies de confidentialité en cryptomonnaie : la protection réelle pourrait nécessiter d’aller au-delà du simple brouillage des transactions, en protégeant également toutes les empreintes comportementales possibles des utilisateurs. Cela soulève aussi des enjeux pour la conformité dans la finance traditionnelle (TradFi), où, peu importe l’évolution technologique, la surveillance basée sur les modèles comportementaux reste un pilier essentiel de la lutte contre le blanchiment d’argent.

Plateformes de trading russes : “nœuds” et “terminaux” du financement criminel

Une fois le parcours des fonds clarifié, la fin de la chaîne pointe vers des plateformes de trading russes. Le rapport mentionne notamment Cryptex et Audi6. Cryptex est particulièrement surveillé, car il figure sur la liste des sanctions du Bureau de contrôle des actifs étrangers (OFAC) du département du Trésor américain. On estime qu’environ 700 000 dollars ont été transférés vers Audi6, tandis que la majorité des fonds finissent sur Cryptex ou d’autres plateformes similaires.

Ces plateformes jouent un rôle crucial dans le processus de sortie des fonds. Après un nettoyage complexe, les bitcoins “propres” sont échangés contre des monnaies fiat ou transférés pour une étape suivante, permettant ainsi la conversion finale d’actifs numériques en richesse accessible. TRM Labs souligne que ces plateformes ont des liens profonds et durables avec le monde souterrain de la cybercriminalité russe, leur fournissant la liquidité et l’infrastructure financière nécessaires. La clé de leur rôle réside dans le fait que, avant et après le processus de nettoyage, les adresses associées aux portefeuilles montrent une forte corrélation avec des opérations en Russie. Cela indique que les hackers ne se contentent pas de louer des infrastructures russes, mais qu’ils sont probablement eux-mêmes situés dans cette région ou contrôlés par des acteurs russophones.

Ce constat met en évidence un défi réglementaire de longue date : certains échanges de cryptomonnaies dans des juridictions peu contrôlées ou peu coopératives deviennent des relais et des refuges pour le financement illicite mondial. Leur existence réduit considérablement la barrière économique et technique pour les cybercriminels, leur permettant de légitimer plus facilement leurs gains illicites. Cela nuit à la réputation globale du secteur crypto et constitue une menace persistante pour la sécurité financière mondiale. Cela montre aussi qu’un cadre réglementaire international, aligné sur les standards de la finance traditionnelle, est urgent pour couper la voie aux flux illicites. La capacité des sociétés d’analyse blockchain à fournir des renseignements précis devient alors un outil stratégique essentiel pour la coopération entre la cryptosphère et les autorités.

Ce cas, qui s’étend sur plusieurs années et implique des dizaines de millions de dollars, agit comme un miroir révélant les défis complexes liés à la sécurité, à la confidentialité et à la conformité réglementaire dans l’univers des cryptomonnaies. Il prouve que, sur la blockchain, même si les traces peuvent être soigneusement dissimulées, toute action laisse une empreinte numérique traçable. Pour l’ensemble du secteur, construire un écosystème capable de protéger à la fois les actifs et la vie privée des utilisateurs tout en permettant la détection et la poursuite des activités criminelles restera une priorité majeure. Dans cette optique, les principes de gestion des risques issus de la finance traditionnelle, la régulation technologique et la coopération avec les forces de l’ordre offrent des outils et des références indispensables.