En résumé
Alors que la technologie « blockchain » ne cesse de se développer en élargissant ses perspectives d’applications possibles à des domaines autres que les seuls crypto-actifs, le législateur, saisi des enjeux qu’elle revêt, s’est emparé du sujet dans un Rapport de la mission d’information parlementaire sur les blockchains présenté le 12 décembre 2018. Comme toutes les innovations disruptives, les blockchains entrainent des bouleversements ayant pour conséquence des avantages immédiats mais aussi des risques en l’absence de cadre juridique approprié. La cellule de renseignement de Bercy (Tracfin) avait déjà alerté sur les risques inhérents aux blockchains de crypto-actifs en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). Le projet de loi « Pacte » en cours d’adoption et la directive (UE) 2018/843 (5ème directive LCB-FT) tentent d’apporter des solutions normatives suffisamment efficaces.
Pour saisir les problématiques liées à cette technologie, il faut comprendre le fonctionnement des blockchains qui se veut « révolutionnaire » en ce qu’il décentralise la confiance des usagers vers des protocoles technologiques (I) mais qui est à relativiser lorsque les risques liés aux cyberattaques (II) et aux crypto-actifs (III) ont ouvert des brèches profitant au blanchiment de capitaux et au financement du terrorisme (III).
I. Une technologie décentralisant la confiance des usagers
Absence d’organe central de contrôle
Pour saisir les enjeux liés aux blockchains encore faut-il comprendre en quoi ces technologies sont novatrices dans le traitement de l’information. L’Office parlementaire d’évaluation des choix scientifiques et technologiques définit les blockchains comme des « technologies de stockage et de transmission d’informations, permettant la constitution de registres répliqués et distribués, sans organe central de contrôle, sécurisées grâce à la cryptographie, et structurées par des blocs liés les uns aux autres, à intervalles de temps réguliers ». L’aspect disruptif le plus conséquent, fondation idéologique à l’origine de la création des blockchains, réside en ce que le procédé sécurise l’information sans nécessairement qu’intervienne un organe central de contrôle. La base de données est stockée simultanément sur l’ensemble des ordinateurs du réseau appelés « nœuds ». Il n’existe donc pas de serveur central. La validation des blocs contenant l’information est multiple et décentralisée. En effet, chaque « nœud » ajoute le bloc à sa propre copie de la blockchain. Néanmoins, cette absence d’organe central doit être nuancée car elle ne concerne en réalité qu’une minorité des blockchains dites « ouvertes » (Blockchain Bitcoin, Ethereum). D’autres blockchains, plus nombreuses et moins notoires, adaptées aux besoins spécifiques des usagers, ne bénéficient qu’aux seules personnes autorisées toutes liées par des intérêts communs. La confiance déjà instaurée des participants n’exige en aucun cas la mise en place d’un protocole sécuritaire ayant fait l’objet d’un consensus en amont. L’utilité de ces blockchains « privées » réside alors essentiellement dans l’optimisation et la fluidité du traitement de l’information. Par conséquent, l’aspect sécuritaire reposant sur la preuve « proof » ne concerne que partiellement ou en rien ce type de blockchains « privées ».
Une confiance fondée sur un consensus protocolaire
Ces technologies sont « révolutionnaires » du fait qu’elles furent à l’origine érigées à partir d’un consensus protocolaire qui décentralisa la confiance des usagers qui reposait jusqu’alors sur des organes centraux (banque centrale pour la monnaie) vers un processus de certification technologique. Chaque bloc est créé par des « mineurs » puis validé et stocké par un consensus des « nœuds ». Les blocs sont horodatés et irréversiblement liés les uns aux autres. Sur les blockchains les plus matures, comme celle des bitcoins, la validation des blocs consiste en la résolution d’énigmes cryptographiques constitutives d’une preuve de travail « proof of work ». La puissance de calcul nécessaire à cette résolution est énergivore. Elle représente un coût conséquent. Pour la blockchain des bitcoins, il existe comme le souligne le Rapport de la mission d’information parlementaire « un mécanisme d’augmentation progressive de la difficulté des problèmes cryptographiques à résoudre en fonction du nombre de bitcoins en circulation ». D’autres types de preuves sont utilisées, moins énergivores, leur vulnérabilité a néanmoins des incidences sur la confiance des acteurs, et donc sur la « viabilité » des blockchains. Les blocs composant une blockchain contiennent une ou plusieurs informations. Elles peuvent être relatives à des transactions financières en crypto-actifs ainsi qu’à des données nécessaires aux fonctionnement des « smart contracts » qui « constituent avant tout des programmes informatiques censés assurer l’exécution immuable d’engagements conventionnels préalables » précise le Rapport de la mission d’information. Théoriquement, toute information, quelle que soit sa nature, peut intégrer un bloc.
II. Les failles des blockchains liées aux cyberattaques
Scénarii liés aux cyberattaques
Les blockchains malgré la confiance qu’elles inspirent ne sont pas infaillibles. L’expérience a démontré que des risques potentiels impactant directement ou indirectement la sécurité des blockchains ne peuvent être minimisés.
Impact Indirect : les ransomwares et les plateformes de change
Les « ransomwares » ou logiciels de rançon sont des logiciels qui paralysent le fonctionnement des plateformes de change de crypto-monnaies et proposent le paiement d’une « rançon » en contrepartie du déblocage de la plateforme. Les ransomwares ne représentent pas directement une menace pour la blockchain en tant que telle mais ils impactent les plateformes de change des crypto-actifs. Dans d’autres situations, notamment suite à une cyberattaque (plusieurs milliers d’ordinateurs furent impactés le 12 mai 2017) la collecte de la rançon se fit en bitcoin (selon le site blockchain.fr dans son article « cyberattaque ransomware et bitcoin »). Les bitcoins obtenus par les rançonneurs furent extorqués aux victimes.
Impact direct : L’attaque des « 51% »
Un autre risque peut résulter du contrôle des nœuds à « 51% » (majorité des « nœuds »). Il s’agit d’un scénario dont la mise en exécution n’est pas à négliger et ces « attaques informatiques peuvent remettre en cause l’immutabilité des données et la protection contre les « doubles dépenses ». On citera l’exemple de l’attaque des 51 % : un acteur peut, au moins temporairement, valider des blocs non conformes – voire réécrire des transactions, dès lors qu’il possède une puissance de calcul suffisante » alerte le Rapport de la mission d’information sur les blockchains. Sur les blockchains les plus matures, cette prise de contrôle représenterait un coût considérable due à la puissance de calcul nécessaire « hashpower » dont très peu d’acteurs actuellement ont les moyens. Mais les blockchains les plus vulnérables, car moins mature, peuvent être exposées à ce type de risque, et la blockchain des bitcoins « Gold » en fût l’exemple en mai 2018.
III. Les cryptos-actifs
Diversité des crypto-actifs
Les cryptos-actifs réunissent les « crypto-monnaies » et les « tokens » qu’il convient de définir soigneusement pour mieux en comprendre les risques. Le Conseil d’Etat par une décision du 26 avril 2018 a considéré que les crypto-monnaies étaient assimilables à des biens meubles incorporels dont les plus-values relèvent du régime d’imposition relatif à cette catégorie.
Les cryptos monnaies
La cellule de renseignement Tracfin précise dans son rapport annuel d’activité 2016 que la crypto-monnaie « désigne généralement une monnaie créée non pas par un État ou une union monétaire mais par un groupe de personnes (physiques ou morales) et destinée à comptabiliser, sur un support virtuel, les échanges multilatéraux de biens ou de services au sein de ce groupe ». Il existe une multitude de crypto-monnaies. La plus connue, le « Bitcoin », signifiant « unité d’information binaire » pour le « Bit » et « pièce de monnaie » pour le « coin » fût créée en 2008. Sa valorisation boursière fluctuant au gré de l’offre et de la demande totalise plusieurs dizaines de milliards de dollars. En seconde place des crypto-monnaies les plus valorisées « l’Ether » lancé en 2015 a connu en très peu de temps un développement exceptionnel. Elle représente actuellement plusieurs milliards de dollars. D’autres crypto-monnaies existent comme le « Ripple », le « Litecoin », le « Dash », ou encore le « Monero » (liste non exhaustive).
Les tokens
La seconde catégorie des crypto-actifs vient occuper un rôle crucial dans l’univers des blockchains. Il s ’agit des cryptojetons « tokens ». Ces crypto-actifs peuvent s’acquérir dès leur émission dans le cadre de levées de fonds en cryptomonnaies « Initial coin offering » (ICO) ou par des négociations sur un marché non réglementé par la suite. Ils peuvent aussi s’acquérir en contrepartie d’une activité effectuée sur une blockchain comme des opérations de « minage ». Les « tokens » peuvent revêtir des droits subjectifs de nature différente : « un droit d’usage d’un produit ou service blockchain ; un droit de vote dans une start up ; un droit d’auteur ; un moyen de paiement ; une réputation » (liste issue de Blockchain France.com).
IV. Les risques LCB-FT en matière de crypto-actifs
Sur les exigences de KYC
Les exigences prévues par le Code monétaire et financier (CMF) concernant la connaissance du client « Know your customer » (KYC) souffrent d’un déficit d’information concernant l’écosystème des blockchains. A priori, il n’est pas nécessaire de fournir des informations d’identité pour créer un portefeuille de crypto-actifs et effectuer des transactions. Dès lors, l’absence d’éléments d’information sur le profil de la personne ne permet en aucun cas de faire un contrôle de cohérence entre l’opération et le KYC. Le client ne peut faire l’objet d’une classification de sa sensibilité en raison de sa profession, sa nationalité, sa fonction (personnalité politiquement exposée) ou tout autre critère déterminant. Ce déficit d’information résulte de l’esprit initial des blockchains qui est celui de se défaire d’un organe central de contrôle. Pour pallier à cette insuffisance, les plateformes de change et de conservation des crypto-actifs contre des monnaies fiduciaires ont été soumises aux exigences LCB-FT et par conséquent aux obligations KYC en vertu de l’article L.561-2 7°bis du CMF (la 5ème directive LCB-FT harmonisera cet assujettissement des intermédiaires à tous les pays membres de l’Union européenne). D’un point de vue technique, il est aussi possible d’effectuer un croisement des données.
Sur la traçabilité des crypto-actifs par croisement des données
Dans le cadre d’un dispositif LCB-FT, la traçabilité permet de connaitre l’origine et la destination des fonds. Sans traçabilité, la démonstration de la légalité d’une transaction financière ne peut se faire. Avec l’essor des crypto-actifs, et la possibilité de les échanger en monnaies fiduciaires, les risques LCB-FT sont réels. L’anonymisation garantie par certaines blockchains, dans des échanges « crypto to crypto » permet de rompre la traçabilité des fonds par l’opacité qui les structure et pose, comme vu précédemment, des difficultés concernant les exigences de KYC. Alors que certaines blockchains permettent une traçabilité par croisement des données, d’autres restent totalement opaques. Le croisement des données s’effectue entre le pseudonyme lié à la clé publique de l’utilisateur (clé lui permettant d’effectuer des transactions sur une blockchain) lorsque celle-ci est reliée à l’identité d’une personne physique. La connaissance de la personne et de sa clé publique est nécessaire. Les fichiers internes d’un commerce, d’une banque, ou d’une administration, contenant des informations sur le client ou l’administré, sont directement mis en lien avec le pseudonyme. La 5ème directive LCB-FT, propose la mise en place d’une auto-déclaration volontaire des utilisateurs qui permettrait d’associer l’adresse des crypto-actifs avec l’identité du détenteur.
Scénario à risque en matière de blanchiment
Dans l’hypothèse où des crypto-actifs issus d’une blockchain « traçable » (Bitcoin, Ethereum) sont échangés contre d’autres crypto-actifs dont l’anonymat est garanti (Darkcoin ou Dash) ou dans l’hypothèse inverse, la vérification de la légalité de l’opération se complexifie. Le premier scénario peut correspondre à une opération de « noircissement » de capitaux, lorsque l’argent acquis légalement est investi dans des activités illégales, tandis que la seconde hypothèse peut relever du « blanchiment » de capitaux issus d’un crime ou d’un délit et qui sont réinjectés dans l’économie légale à la suite d’une opération de change en monnaie fiduciaire. La cellule Tracfin a mis en évidence dans son rapport Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme 2017-2018 sur « un risque important issu de l’hybridation entre les services de paiement en monnaie légale et les crypto-actifs est celui présenté par les cartes de paiement en monnaie légale adossées à des portefeuilles en crypto-actifs (cartes dites BTC2plastic) ».
Scénario à risque en matière d’abus de marché
Le délit de manipulation du cours est puni par l’article L 465-3-1 du CMF qui dispose qu’est « puni des peines prévues au A du I de l'article L. 465-1 le fait, par toute personne, de réaliser une opération, de passer un ordre ou d'adopter un comportement qui donne ou est susceptible de donner des indications trompeuses sur l'offre, la demande ou le cours d'un instrument financier ou qui fixe ou est susceptible de fixer à un niveau anormal ou artificiel le cours d'un instrument financier ». Les fluctuations excessives des crypto-monnaies ont attiré l’attention sur des éventuelles fraudes. En mai 2018, une enquête est ouverte par le régulateur américain alerté par les chutes du cours du Bitcoin et de l’Ethereum. Néanmoins, en France, les cryptoactifs n’étant toujours pas considérés comme des instruments financiers, l’article L 465-3-1 du CMF n’a pas vocation à s’appliquer.
L’exercice illégal de la profession d’intermédiaire en opération de banque et service de paiement
La profession d’intermédiaire en opération de banque et service de paiement relève d’une activité règlementée dont certaines formalités obligatoires à défaut d’être respectées sont pénalement répréhensibles. L’immatriculation en tant qu’intermédiaire sur un Registre unique des intermédiaires en opérations de banque et de service de paiement tenu par l’ORIAS est une obligation. Ainsi, l’activité de courtage de crypto-actifs à titre habituel est soumise comme toute activité de courtage à la délivrance d’une homologation au préalable.
Crypto-actifs et dark web : le commerce de produits illicites
Il s’agit de transactions effectuées en crypto-actifs sur les places de marché du « dark web ». La cellule Tracfin a signalé le risque lié à l’anonymisation et l’absence de traçabilité permises par des blockchains qui couplées à l’opacité du « dark web » seulement accessible via des autorisations spécifiques représentent une problématique certaine. L’utilisation des logiciels qui permettent de masquer l’adresse IP et de protéger les données sensibles complexifie la LCB-FT. Le logiciel TOR « The Onion Router » développé à l’origine dans un laboratoire de l’US Navy, et publié plus tard sous licence libre, en est un exemple. Les données sont protégées par plusieurs couches de chiffrage et par des brouilleurs de piste. Cette protection en se superposant à celle des blockchains opaques renforce l’anonymisation. Par conséquent, l’acquisition de produits illicites sur le dark web par des crypto-actifs sur des blockchains opaques est une aubaine pour les trafics en tout genre. Néanmoins, cette protection permise par le logiciel TOR, n’est pas totalement infaillible, en ce que les données circulant entre les derniers « nœuds » et le terminal de l’utilisateur ne seraient quant à elle pas protégées. D’autres logiciels peuvent rendre la traçabilité plus ardue encore.
Scénario à risque relatif aux ICO
Les levées de fonds en crypto-actifs sont une véritable aubaine pour l’innovation. Leur facilité et leur rapidité dues à l’absence de contrainte et de formalité ont permis le financement de projets porteurs pour l’avenir. Mais l’absence de cadre et d’harmonisation juridiques entre les différents pays de l’Union européenne représente aussi un risque certain pour les investisseurs. En effet les ICO revêtent une nature transnationale qui complexifie la mise en place de normes adéquates. La difficulté réside donc dans la distinction entre les offres sérieuses et abusives. La loi « Pacte » propose dans son article 26 la mise en place d’un visa dont bénéficierait les offres sérieuses. Une « liste blanche » accessible par les potentiels investisseurs regrouperait les ICO ayant fait l’objet d’un contrôle à priori de l’Autorité des marchés financiers (AMF). Cette proposition permettrait aux émetteurs de « tokens » le souhaitant, à leur initiative, de soumettre leur dossier et de profiter après validation d’un « label » de l’AMF rassurant les investisseurs.
EN CONCLUSION
Les blockchains sont aujourd’hui au centre de nombreux débats. Cette technologie reflète l’ère du temps, celui de la défiance, de la suppression des frontières et des intermédiaires. Elle ne cesse de questionner les experts, les pouvoirs publics, les institutions bancaires et financières, et toute personne désireuse de s’informer. En termes de risques LCB-FT, le sujet est sensible. L’idéologie blockchain dès l’origine s’opposait à tout organe de contrôle central. La technologie a permis de sécuriser le traitement de l’information mais l’absence de cadre juridique laisse une porte ouverte aux professionnels du blanchiment de capitaux et au risque de financement du terrorisme. Même si aujourd’hui, le législateur a pris des mesures pour encadrer cette économie virtuelle, seule une vigilance accrue, une coopération internationale, et des moyens techniques proportionnés permettront de réduire les risques d’utilisation de cette « fintech » à des fins de blanchiment de capitaux ou de financement du terrorisme.
Le 19 Juillet 2019
Pour AiYO GROUP
Par Malik Bensalem
Consultant regulatory chez AiYO
& Véronique Moussu-Baaj
Head of regulatory chez AiYO