Barracuda full logo

Comment les cybercriminels blanchissent-ils les cryptomonnaies ?

Thèmes:
21 mai 2025
|

Le pire scénario possible s’est réalisé. Lors d’une attaque par logiciel rançonneur, plusieurs couches de sécurité ont été percées et certaines de vos données critiques ont été chiffrées. Ces données ne sont sauvegardées nulle part — ou, si elles le sont, les fichiers de sauvegarde sont aussi chiffrés. Aucun correctif connu ne peut vous permettre d’inverser le processus de chiffrement. N’ayant pas d’autre choix, vous payez la rançon.

Rien qu’en 2024, l’industrie mondiale des logiciels rançonneurs a engrangé des centaines de millions de dollars au total, dans une diversité de cryptomonnaies. Mais l’histoire de cet argent ne s’arrête pas là. Il doit être blanchi : s’agissant de gains obtenus illégalement, il faut les faire apparaître comme des revenus prétendument légitimes. Comment les cybercriminels transforment-ils leurs paiements de rançon en un argent qu’ils peuvent dépenser sans craindre d’être arrêtés ?

Le blanchiment des paiements de rançon déguise les mauvais acteurs

Au départ, lorsque la cryptomonnaie a été imaginée, elle a été saluée par les libertariens en tant que monnaie parallèle décentralisée : elle allait permettre à ses utilisateurs de dissimuler leur richesse et leurs transactions aux gouvernements centraux. Dans un monde parfait — d’un certain point de vue —, il n’y aurait aucun besoin de blanchir de la cryptomonnaie. Il serait possible d’en détenir et d’en dépenser sans que personne ne sache que vous en usez.

Mais en réalité, les cryptomonnaies ne sont pas aussi indécelables que les criminels le souhaiteraient. Les forces de l’ordre peuvent décrypter les transactions des chaînes de blocs. Elles peuvent démasquer les pirates usant de logiciels rançonneurs et procéder à des arrestations. Pour agir, elles disposent de plusieurs moyens.

  • La mise en évidence d’activités criminelles à partir de données d’attribution : Les criminels font souvent des erreurs qui permettent de les détecter. Par exemple, supposons qu’un pirate informatique code en dur dans son logiciel malveillant l’adresse destinée au paiement de ses rançons. Par voie de conséquence, le portefeuille utilisé est étroitement associé à une activité criminelle, ce qui signifie que tout transfert en provenance de ce portefeuille est probablement lié à ce même pirate. (Un attaquant plus intelligent essaierait de faire générer automatiquement un portefeuille unique à chaque fois que son logiciel malveillant est lancé.)
  • L’exploration des données des chaînes de blocs à la recherche d’indices : Un unique groupe de pirates est susceptible de détenir des centaines de portefeuilles de cryptomonnaies. De cette façon, il est moins aisé de remarquer les volumes élevés de transactions destinées au groupe après une attaque. Ceci dit, les connexions entre les portefeuilles utilisés peuvent être révélées par un algorithme d’apprentissage automatique appelé DBSCAN, méthode qui facilite la détection des détenteurs de ces portefeuilles (DBSCAN signifie « regroupement spatial d’applications basé sur la densité et le bruit »).
  • La détection des transactions de sortie : Tôt ou tard, les criminels cherchent à dépenser leur cryptomonnaie, et ils ne peuvent le faire qu’en la convertissant en une devise du monde réel. Cette opération implique parfois de traiter avec une banque, ou avec une autre institution soumise aux réglementations internationales sur la lutte contre le blanchiment d’argent et sur la connaissance de la clientèle. Une fois qu’un portefeuille a été associé à une activité criminelle, les enquêteurs peuvent découvrir quand et où son contenu a été converti en devises valables. Ils peuvent ensuite retrouver l’identité des pirates responsables en émettant une sommation contre l’institution concernée — qui peut s’agir d’une banque, d’un organisme de prêt ou d’une plateforme d’échange de cryptomonnaies.

Aujourd’hui, les cybercriminels sont obligés de recourir à des mesures de plus en plus sophistiquées pour échapper aux forces de l’ordre et parvenir à dépenser leurs gains mal acquis.

Trois méthodes sont couramment utilisées par les cybercriminels pour blanchir de la cryptomonnaie

Les pirates informatiques sont caractérisés par leur volonté de réviser leurs procédés. Les gouvernements sont de plus en plus capables d’analyser les transactions effectuées en cryptomonnaie, mais les criminels ont adopté plusieurs méthodes pour rendre ce travail plus difficile.

  1. Le bitcoin n’est pas le seul recours. Le bitcoin est toujours la monnaie de prédilection des pirates rançonneurs, mais il existe d’autres cryptomonnaies qui ont été conçues pour offrir un plus haut degré de confidentialité et de sécurité. Par exemple, le monero et le tether sont dotés de nombreuses caractéristiques qui les rendent plus confidentiels, contrecarrant ainsi la détection des transactions. Certains groupes de pirates proposent même des réductions aux victimes prêtes à payer leur rançon en moneros plutôt qu’en bitcoins!
  2. Pourquoi utiliser une seule chaîne de blocs quand on peut en utiliser plusieurs ? Ce n’est pas en recourant toujours à la même chaîne de blocs que l’on se protège au mieux contre une surveillance poussée, quel que soit le niveau de sécurité de la chaîne en question. Pour cette raison, de nombreux criminels préfèrent passer constamment d’une chaîne à une autre. Ils convertissent leurs bitcoins en tethers, puis leurs tethers en moneros, leurs moneros en ethereums, etc. L’avantage de cette technique est que les passerelles entre les chaînes ne sont pas soumises aux mêmes règles que les services d’échange de cryptomonnaies en ce qui concerne la lutte contre le blanchiment d’argent. En conséquence, les utilisateurs de ces passerelles peuvent rester anonymes.
  3. Les mixeurs de cryptomonnaie. Peu importe le nombre de fois où le détenteur d’une somme passe d’une chaîne de blocs à une autre, l’argent qu’il a reçu demeure identifiable comme étant le sien. Mais s’il pouvait être celui de quelqu’un d’autre ? Un mixeur de cryptomonnaie est un service payant qui assure des échanges de sommes entre détenteurs, rendant l’origine de l’argent presque impossible à retrouver.

Étant donné que les mixeurs de cryptomonnaie sont très efficaces pour masquer l’origine des paiements de rançon, ils sont devenus l’un des outils les plus prisés des cybercriminels pour blanchir avantageusement leurs gains.

Comment fonctionnent les mixeurs de cryptomonnaie ?

Supposons qu’Alice, Bob et Charlie détiennent chacun une somme en cryptomonnaie et qu’ils souhaitent tous s’assurer que personne ne sache comment ils l’ont obtenue. Ils décident d’utiliser un service de mixage de cryptomonnaie.

Chaque utilisateur vide son portefeuille de cryptomonnaie dans le mixeur. Le mixeur échange l’argent entre Alice et Bob, puis entre Bob et Charlie. Quand Alice récupère son argent — diminué d’une petite commission versée au mixeur —, la somme qu’elle reçoit ne contient plus rien de l’argent qu’elle avait au départ.

Dans les faits, ce processus est appliqué à des milliers d’utilisateurs et répété des centaines de fois. Il devient donc très difficile de déterminer l’origine de fonds volés. En l’absence d’un mixeur de cryptomonnaie, voici ce que les forces de l’ordre seraient susceptibles de voir en suivant un enchaînement de transactions :

  1. Une victime achète de la cryptomonnaie et la transfère dans un portefeuille appartenant à un cybercriminel anonyme.
  2. La cryptomonnaie transite par quelques dizaines de portefeuilles et par plusieurs chaînes de blocs, chaque élément appartenant à son tour à un utilisateur anonyme.
  3. Les forces de l’ordre font appel à DBSCAN pour suivre ces transactions du début à la fin. Elles découvrent ainsi que tous les portefeuilles anonymes appartiennent à la même personne.
  4. Pour finir, la cryptomonnaie est convertie dans une devise locale et déposée sur un compte détenu par Alice.
  5. En vertu des lois internationales sur la connaissance de la clientèle, les forces de l’ordre émettent une sommation à l’encontre du service d’échange de cryptomonnaies qui a été utilisé. De cette manière, elles identifient Alice et la mettent en examen pour actes de cybercriminalité.

Peu importe le nombre fois où Alice a transféré son argent, sa piste continue de la relier à son crime initial. Mais avec un mixeur, une nouvelle étape s’insère entre les points trois et quatre. Jusqu’alors, les transactions en cryptomonnaies ne se rapportaient qu’à une seule grosse somme d’argent, sans fragmentation. Mais désormais, ce total est divisé, puis il est transféré à d’autres utilisateurs qui n’ont rien à voir avec le crime initial et Alice fait remplacer l’argent de sa rançon par des sommes d’origine légitime. La piste d’Alice se rompt avec l’intervention du mixeur, et aucune arrestation n’est possible. 

Comment les forces de l'ordre luttent-elles contre les blanchisseurs d'argent ?

Le système de mixage de cryptomonnaies présente un inconvénient majeur : à moins d’essayer de transférer ou de dissimuler de l’argent illégalement, il n’y a aucune raison légitime d’en utiliser un. C’est pour cette raison que les forces de l’ordre du monde ont décidé de s’en prendre à ces services, car ils sont complices de délits financiers. Plusieurs cas très médiatisés ont été signalés au cours des dernières années, dont les suivants :

Au bout du compte, les pirates informatiques ont fini par disposer de moins d’endroits et de méthodes pour cacher leurs rançons. En conséquence, l’usage de logiciels rançonneurs pour générer des revenus est devenu plus difficile.

Découvrez comment Barracuda peut vous aider

Si vous payez une rançon en cryptomonnaie, c’est définitif. Même si les forces de l’ordre du monde peuvent fermer le mixeur de cryptomonnaies utilisé, retrouver les pirates et saisir leurs biens, il est très improbable que l’argent que vous avez réglé vous soit restitué un jour.

C’est donc aux administrateurs qu’il appartient d’adopter les meilleures pratiques pour se prémunir contre les attaques par logiciel rançonneur. Dans cette optique, il convient de mettre en œuvre des mesures de protection comme, par exemple, l’authentification multifacteur, la gestion évolutive des correctifs et la microsegmentation. Avec certains services, comme celui de XDR géré de Barracuda, vous pouvez déceler plus rapidement les menaces, protéger vos surfaces d’attaque et tirer un meilleur parti de vos ressources. Demandez une démonstration dès aujourd’hui et découvrez ce que nous pouvons faire pour protéger votre environnement.

S’abonner au blog Barracuda
Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
 Malware Brief : hameçonnage sophistiqué, BYOVD et RAT Android
Malware Brief : hameçonnage sophistiqué, BYOVD et RAT Android
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.