Pourquoi des développeurs vont en prison ?

« Ceux qui renonceraient à la liberté essentielle pour acheter un peu de sécurité temporaire, ne méritent ni la liberté ni la sécurité ».

Tels furent les mots de Benjamin Franklin, l’un des pères fondateurs des États-Unis d’Amérique en 1755 à l’attention du Gouverneur de Pennsylvanie [1].

Cette citation, qui à l’époque s’inscrivait dans un contexte de guerre et de géopolitique, est à notre époque souvent réutilisée : mais cette fois dans le contexte d’une guerre idéologique et de la quête de défense des libertés individuelles.

Et de façon encore plus contemporaine, elle revient souvent dans les discours défendant le droit à la vie privée et de la liberté d’expression. Et plus précisément par le biais de l’anonymat à travers les logiciels de cryptographie : les discours de l’idéologie crypto-anarchiste autrement appelée cypherpunk.

Cette guerre idéologique a été ravivée depuis le développement des technologies de l’information, internet, mais de façon encore plus actuelle via ces nouvelles technologies de transaction cryptographique qui vous intéressent vous et moi : celles reposant sur la blockchain.

En effet, malgré la paternité des États-Unis à l’égard de cette citation si défenderesse du droit à la vie privée, il semblerait que ce soit bien cet État qui ait décidé de lancer les hostilités contre ces technologies cryptographiques, assurant l’anonymat des transactions, plus particulièrement les mixers de crypto-actifs, déjà définis dans cet article.

Nous verrons ici deux cas majeurs et ô combien actuels : celui de Tornado Cash (I) puis celui de Samouraï Wallet (II).

I. L’affaire Tornado Cash.

Ici, nous nous intéresserons à ce que reprochent concrètement les autorités aux développeurs de Tornado Cash, et la stratégie juridique employée à ces fins.

1) Hack de Axie Infinity : la guerre entre le Lazarus Group et le Trésor américain.

C’est le 6 mai 2022 qu’une guerre économique et cyber fut déclarée : celle entre l’OFAC et le Lazarus Group.

L’OFAC pour « Office of Foreign Assets Control » ou « Office de contrôle des actifs étrangers », est l’organe dépendant directement du Trésor américain pour appliquer des sanctions à l’échelle internationale, dans le domaine commercial et financier.

Le Lazarus Group, comme le décrit l’autorité américaine précitée, est un groupe de hackers black hats étatiques, c’est-à-dire qu’ils travaillent directement pour un état et pas n’importe lequel, puisqu’il s’agit du DRPK, un acronyme pour « Democratic People’s Republic of Korea », soit RPDC en français pour « République populaire de Corée » : la Corée du Nord.

En effet, le 23 mars 2022, ce groupe aurait soustrait frauduleusement 620 millions de dollars, en hackant le projet de jeu, basé sur la technologie blockchain, Axie Infinity (plus précisément le bridge « Ronin » qui permettait de transférer ses ethers entre le jeu et la blockchain Ethereum).

C’est donc le 6 mai 2022 que l’autorité a lancé les hostilités contre le groupe de hackers, mais pas en sanctionnant directement les pirates : en sanctionnant la plateforme permettant d’anonymiser les transactions cryptos, à travers laquelle ils auraient blanchi 20,5 millions de dollars issus du hack, le mixer « Blender ».

C’est donc la première fois où un mixer de crypto-actifs a été ajouté à la fameuse liste de l’OFAC, la liste « SDN » pour « Specially Designated Nationals and Blocked Persons », qui liste des terroristes, des criminels, des sociétés ou encore des organisations, qui sont frappés d’embargo [2].

Mais ce ne sera pas la dernière, puisque c’est le 8 août 2022 que l’autorité place pour la deuxième fois un mixer de crypto sur la SDN : le mixer Tornado Cash.

Ici, l’OFAC ne décrit plus 20,5 millions de dollars blanchis, mais bien 7 milliards depuis la création du mixer en 2019, dont 455 millions issus du hack du projet Axie Infinity par le Lazarus Group.

À ce titre, selon un rapport de 2019 de Chainalysis, célèbre outil de surveillance transactionnelle crypto, utilisé par le FBI :

« Depuis son entrée en activité en août 2019, Tornado Cash a reçu plus de 7,6 milliards de dollars d’Ethereum, dont une partie importante provient de sources illicites ou à haut risque. La moitié de ces fonds provenaient de protocoles DeFi, mais 18 % provenaient d’entités sanctionnées (presque entièrement, faut-il le noter, avant que ces entités ne soient sanctionnées), tandis qu’un peu moins de 11% étaient des fonds volés sur d’autres services et protocoles de crypto-monnaie » [3].

Et tout comme le mixer Blender, la plateforme Tornado Cash, décrite comme « un mélangeur de cryptos qui fonctionne sur la blockchain Ethereum qui facilite sans discernement les transactions anonymes en masquant leur origine, leur destination et leurs contreparties, sans tenter de déterminer leur origine », est accusée d’avoir :

« Aidé, parrainé ou fourni un soutien financier, matériel ou technologique, ou des biens ou services à, ou à l’appui, d’une activité cybernétique provenant de ou dirigée par des personnes situées, en totalité ou en en grande partie, en dehors des États-Unis, ce qui est raisonnablement susceptible d’entraîner, ou a contribué matériellement, à une menace significative pour la sécurité nationale, la politique étrangère, la santé économique ou la stabilité financière des États-Unis et qui a pour but ou pour effet de provoquer un détournement important de fonds ou de ressources économiques, de secrets commerciaux, d’identifiants personnels, ou des informations financières pour un avantage commercial ou concurrentiel ou un gain financier privé » [4].

Et comme Blender, en plus des biens détenus par la plateforme : toutes les transactions effectuées par des personnes américaines ou à l’intérieur (ou en transit) des États-Unis qui impliquent des biens ou des intérêts liées à Tornado Cash sont interdites. C’est ce qui a amené à une censure opérée sur 43% des relais MEV-Boost, qui valident les transactions sur la blockchain Ethereum [5].

Petit rappel juridique : une règle est considérée comme règle de droit à la condition d’être assortie d’une sanction.

Nous venons justement de voir la sanction, mais sur quelle règle de droit se fonde-t-elle ? Et bien dans le cas qui nous intéresse, elle se fonde sur l’Executive Order (« E.O. ») numéro 13694.

Alors qu’est-ce qu’un « Executive Order » ? Un ordre exécutif est un décret, et pas n’importe lequel : c’est un décret présidentiel, écrit de la main du Président des États-Unis, le sommet de l’ordre exécutif du pays.

L’E.O n°13694 lui concerne les préjudices spécifiques, causés par des activités cybernétiques malveillantes importantes. Ce texte ordonne notamment à l’OFAC, d’imposer des sanctions aux personnes qu’il juge responsables ou complices d’activités conduisant à de tels préjudices, en plus d’ajouter ces personnes, physiques comme morales, à la SDN list [6].

Cet Executive Order argué à l’encontre de Tornado Cash sera débattu, et pas n’importe où : au tribunal par les avocats des développeurs du Mixer.

2) Le procès des développeurs de Tornado Cash.

Je parle ci-dessus de l’OFAC contre le mixer Tornado Cash, mais ce qui fait que cette affaire est si importante et suivie par les acteurs cryptos, les utilisateurs, les développeurs, les journalistes, les juristes et de nombreux observateurs des libertés fondamentales : c’est bien parce que deux jours après l’inscription du Mixer sur la SDN list, le 10 août 2022, Alexey Pertsev, un développeur de l’outil, a été arrêté aux Pays-Bas puis mis en détention.

a) Alexey Pertsev.

Ce fut un véritable scandale pour beaucoup, rappelant que cette arrestation pourrait créer une jurisprudence très belliqueuse à l’égard des développeurs, arguant qu’en raisonnant ainsi : on ne punirait pas ceux qui commettent l’infraction, mais ceux qui ont développé un outil qui a permis de blanchir les fonds issus de l’infraction. De plus, l’outil développé par Alexey Pertsev est open-source : accessible à tous, n’importe qui peut l’utiliser, le copier ou le modifier, en outre : le développeur perd tout pouvoir de contrôle sur les utilisations qui pourront être faites de son logiciel.

C’est à ce titre que le lanceur d’alerte américain exilé en Russie, Edward Snowden, qui avait révélé les méthodes de surveillance systématique de la NSA et de la CIA lorsqu’il y travaillait en tant qu’informaticien, a aidé à lever des fonds dans le but de couvrir les frais procéduraux pesant sur les développeurs de Tornado Cash. La cagnotte s’élève à 350 000 dollars.

Vous l’aurez compris, cet argument sera un de ceux qui nous intéresserons particulièrement dans cette affaire, que nous étudierons un peu plus tard.

Le procès du développeur s’est tenu le 26 mars 2024, et le lendemain : 5 ans de prison furent requis contre lui devant la juridiction néerlandaise (la « S-Hertegonbosch court ») par les procureurs locaux, pour avoir facilité le blanchiment de 1,2 milliards de dollars.

Selon le média Coindesk, qui ont pu consulter l’acte d’accusation tout comme le média DL News avant que le verdict fut disponible, les procureurs indiquaient « qu’entre le 9 juillet 2019 et le 10 août 2022, au moins aux Pays-Bas et/ou en Russie et/ou aux États-Unis et/ou à Dubaï, ensemble et en association avec un ou plusieurs autres, au moins seuls, Pertsev aurait pris l’habitude de blanchir de l’argent » [7].

Je vous propose donc d’étudier les arguments juridiques de l’accusation, comme de l’avocat du développeur.

i) Les développeurs de Tornado Cash pouvaient raisonnablement penser que des fonds sur Tornado Cash, provenaient du hack d’Axie Infinity.

L’acte d’accusation liste 40 transactions totalisant 535 809 ETH provenant de diverses plateformes dont 175 100 ETH qui proviennent du projet Axie Infinity, hacké par le Lazarus Group. Dans ce même acte d’accusation, les procureurs estiment, en parlant de Pertsev, que « le suspect et/ou son ou ses coauteurs savaient (à chaque fois),au moins pouvaient raisonnablement soupçonner que le ou les objets provenaient entièrement ou en partie - directement ou indirectement - de tout crime ».

Très vulgairement, en droit pénal, il est nécessaire pour démontrer qu’une personne est coupable d’une infraction, de faire la preuve de 3 éléments :

• l’élément matériel de l’infraction (les faits)
• l’élément textuel (le fondement juridique, il existe bien un texte qui sanctionne l’action ou l’omission incriminée)
• l’élément moral (l’élément intentionnel).

Concernant l’élément textuel, les procureurs ont eu recours à l’article 420bis Sr du Code pénal néerlandais, au sein des dispositions sur le blanchiment d’argent. Celui-ci énonce que :
« une personne qui cache ou dissimule la véritable nature, l’origine, le lieu où il a été trouvé, la disposition ou le déplacement d’un objet, ou cache ou dissimule qui est le titulaire du titre de l’objet ou qui l’a en sa possession, alors qu’il sait que l’objet provient - directement ou indirectement - d’une infraction pénale (ici le hack) se rend coupable de blanchiment d’argent et encourt une peine d’emprisonnement de 6 ans, 8 si cela a été réalisé de manière habituelle ».

La Cour suprême néerlandaise a pu préciser la portée de cet article, en ayant une approche dite « fourre-tout », c’est-à-dire une méthode de preuve indirecte, dans laquelle il n’est pas nécessaire de préciser les éléments de preuve démontrant quelle infraction exacte (ici le hack) sous-jacente du blanchiment a été commise, il suffit simplement de prouver que « l’objet » ne vient pas d’une source légale.

C’est via ce mécanisme juridique, que des « preuves » du blanchiment d’argent peuvent facilement être obtenues par une approche indirecte, d’une manière « fourre-tout » [8].

Il faut savoir enfin, que la notion d’« objet » mentionnée par l’article, couvre le bitcoin et l’ether selon des jurisprudences récentes néerlandaises [9].

Et c’est justement la stratégie juridique utilisée par la procureure Boerlage de démontrer que :

En se basant sur l’article 420bis Sr du Code pénal néerlandais (élément textuel, 1ʳᵉ condition), Tornado Cash était un service qui permettait la dissimulation et l’origine de fonds (élément matériel, 2ᵉ condition), et enfin que les opérateurs du service savaient, directement ou indirectement que ces fonds provenaient d’une infraction, le hack d’Axie Infinity (élément moral, 3ᵉ condition).

L’avocat de Pertsev, Keith Cheng dont le client nie être coupable de faits de blanchiment, a pris le parti de défendre la thèse selon laquelle les procureurs n’auraient pas suffisamment démontré quels ont été les actes spécifiques (élément matériel, 1ʳᵉ condition) qu’a réalisé Pertsev, constitutifs de l’infraction de blanchiment.

ii) Tornado Cash, une plateforme échappant au contrôle de Pertsev.

Pour contrer la prétendue démonstration que l’élément moral était présent (ou élément intentionnel, 3ᵉ condition) expliqué par la procureur Boerlage, comme quoi Pertsev savait directement ou indirectement que des fonds qui transitaient sur la plateforme étaient issus d’une infraction, et ne l’a pourtant pas empêché, l’avocat de Pertsev a soutenu que le mixer était autonome.

En effet, en plus d’avoir un code open source, le protocole Tornado Cash était décentralisé, sa gouvernance prenant la forme d’une DAO (« Decentralized Autonomous Organization », ou Organisation autonome décentralisée), l’équipe de développement n’en aurait pas eu le contrôle, et ne pouvait donc être incriminée selon l’avocat.

Toutefois, la procureure semble démentir cet argument, arguant pour sa part que les développeurs avaient assez de tokens de gouvernance (le token « Torn ») sur le protocole (environ 30%) pour prendre des décisions opérationnelles, sachant que les procureurs auraient obtenu des conversations privées des développeurs discutant de divers moyens pour contourner les normes en matière d’anti-blanchiment [10].

La procureure a notamment conclu en arguant le fait que Tornado Cash est plus qu’un smart contract, un protocole décentralisé : elle a été dirigée comme une société [11].

iii) Le verdict.

Le 14 mai 2024, Alexey Pertsev a été reconnu coupable de blanchiment d’argent et condamné à 5 ans de prison à effet immédiat, il a 14 jours pour faire appel.

Les juges ayant suivi le raisonnement des procureurs, il est important de noter que ceux-ci dans leur jugement, ont fait preuve d’une connaissance et maîtrise claire de la technologie en cause.

Et je souhaite m’arrêter un instant sur ce fait : de ma récente et très modeste pratique, alors que j’entends souvent que « les régulateurs, les législateurs et juges n’y connaissent rien à la crypto », je pense que cette affirmation est de moins en moins en vraie. En effet que ce soit la Commission européenne dans ses analyses d’impact de l’environnement DeFi, les régulateurs français comme l’Autorité des Marchés Financiers (« AMF ») à travers leurs recommandations et études, ont pu faire la démonstration de leur savoir et maîtrise certains, à l’égard de l’écosystème.

Ici, les juges néerlandais ont à leur tour pu faire la démonstration de leur connaissance, en concluant :

« Sous couvert d’idéologie, le prévenu s’est soustrait aux lois et règlements qui s’appliquent à tous et s’est cru intouchable. Il s’est comporté de manière commode lorsque des demandes d’aide de la part de victimes de piratages ou d’agences d’investigation lui ont été adressées, déclarant simplement qu’il ne pouvait rien faire pour elles. Avec des œillères, ignorant complètement les abus commis par et à travers Tornado Cash, il a continué à développer et à exploiter ce service. Le défendeur a choisi de détourner le regard des abus et de ne pas en assumer la responsabilité. Pendant ce temps, il a réussi à s’enrichir grâce à son service de dissimulation d’avoirs criminels ».

Cette conclusion illustre parfaitement, à mon sens, le nœud de cette guerre idéologique : le droit à la vie privée contre la sécurité publique.

b) United States of America c/Roman Storm and Roman Semenov.

Alexey Pertsev n’est pas le seul développeur du mixer Tornado Cash, et c’est l’OFAC qui va le rappeler.

Des mois après l’arrestation d’Alexey Pertsev, l’un des 3 développeurs, l’OFAC annonce le 23 avril 2023 que des poursuites sont engagées contre le russe Roman Semenov et l’américain Roman Storm, les deux autres développeurs.

Toutefois ici, l’autorité américaine n’est pas seule, puisqu’elle agit en coordination avec le « U.S Department of Justice » (« DoJ »), le ministère de la Justice américain, sachant que Roman Storm fut arrêté par le FBI en coopération avec l’« Internal Revenue Service » (l’« IRS ») autrement dit le fisc américain.

En outre, en plus d’être inscrits sur la fameuse SDN list, les deux développeurs se voient appliquer les sanctions habituelles que peut prononcer l’OFAC : leurs biens et intérêts qui se trouvent aux États-Unis ou en possession ou sous le contrôle de personnes américaines doivent être gelés, sinon signalés à l’OFAC, et ceci toujours en se fondant sur l’Execution Order n°13694, mais également sur l’E.O n°13722.

Mais ce n’est pas tout, en effet Roman Storm a été arrêté aux États-Unis (à l’inverse de Roman Semenov qui échappe pour le moment aux autorités américaines), et les deux développeurs se voient poursuivis par le DoJ devant les tribunaux américains.

Je vous propose donc une analyse de cette procédure opposant le ministère de la justice américain à Roman Storm et Roman Semenov.

3 accusations sont formulées par le U.S. Department of Justice :

• Complot en vue de commettre un blanchiment d’argent
• Complot en vue d’exploiter une société de transfert d’argent (« Money Transmitting Business ») sans licence
• Complot en vue de violer l’« International Emergency Economic Powers Act (IEEPA) ».

Nous allons donc étudier ces arguments un par un.

i) Complot en vue de commettre un blanchiment d’argent.

Après avoir démontré, encore une fois, leurs connaissances confirmées à propos du secteur crypto en contextualisant la plateforme Tornado Cash, d’un point de vue économique comme technique (en expliquant l’interface utilisateur, le fonctionnement précis des transactions du mixer, jusqu’au fonctionnement même de la blockchain Ethereum), les procureurs ont invoqué, devant la U.S District Court du District Sud de New-York, le chef d’accusation de complot en vue de commettre un blanchiment d’argent, de la part des deux développeurs.

L’accusation se fonde sur le Code des États-Unis (1ʳᵉ condition : élément textuel, bien que le fonctionnement du droit américain diffère du droit romain européen, en se basant sur le mécanisme du common law). Ce code répertorie tout droit américain fédéral qui a un caractère général et permanent.

Plus précisément, ce chef d’accusation se fonde sur le titre 18 du U.S Code (« Infractions et procédure pénale »), Partie 1 (« Infractions »), chapitre 95 (« Racket »), section 1956 (« Blanchiment et instruments monétaires »), (a) (1) (B) (i), ce qui, en français juridique, donne :

Se rend coupable de l’infraction de blanchiment :

« Quiconque, sachant que les biens impliqués dans une transaction financière représentent le produit d’une certaine forme d’activité illégale, effectue ou tente d’effectuer une telle transaction financière qui implique le produit d’une activité illégale spécifiée, sachant que la transaction est conçue en tout ou en partie pour dissimuler ou déguiser la nature, le lieu, la source, la propriété ou le contrôle du produit d’une activité illégale spécifiée ».

Ce qui, en français tout court, veut dire que quiconque, effectuant/opérant une transaction tout en sachant qu’elle comprend un produit issu d’une activité illégale, se rend coupable de blanchiment d’argent.

Et c’est justement l’accusation faite par les procureurs à l’égard des développeurs : des fonds contenus dans des transactions, provenaient d’une activité illégale, en l’occurrence du hack (2ᵉ condition : élément matériel, les faits), mais tout en le sachant, ont quand même, via leur plateforme, procédé à de telles transactions (3ᵉ condition : élément moral, intentionnel).

Les procureurs avancent plusieurs éléments de preuve au soutien de cette accusation, notamment des faits prouvant que les développeurs savaient que les fonds issus du hack du bridge Ronin (qui fait le lien entre le jeu Axie Infinity et la blockchain Ethereum) allaient transiter vers leur mixer.

L’annonce publique du hack du réseau Ronin a été faite par ses administrateurs le 29 mars 2022, les procureurs avancent donc que les fondateurs de Tornado Cash étaient au courant de l’incident le jour même de l’annonce. Et pour le prouver, ils ont relevé un message envoyé par Roman Semenov à Roman Storm et Alexey Pertsev le jour-même via une app de messagerie chiffrée « Vous avez vu le hack de $600M aujourd’hui ? Ça peut sérieusement foutre la merde » puis il a envoyé un lien du tweet du profil twitter officiel du réseau Ronin décrivant le hack. Plus tard dans la journée, Alexey Pertsev répondit « Hey, quelqu’un pour parler d’Axie ? J’aurais des questions d’ordre général pour savoir comment on peut cash-out 600 millions ? ».

Mais surtout lorsque, le 14 avril 2022, le FBI a désigné publiquement le Lazarus Group comme responsable du hack et que l’OFAC a pu désigner l’adresse 0x098B716 (qui a été ajoutée à la SDN list) comme détenant la majorité du butin du hack, les développeurs, dans la même messagerie, ont pu échanger divers messages.

Notamment Storm qui commente « Guys, we are fucked », traduit en français : « Les gars, on est niqué », car des fonds provenant de cette adresse transitaient par Tornado Cash.

Le lendemain, les développeurs et fondateurs de Tornado Cash ont fait une annonce publique sur twitter : « Maintenir une confidentialité/vie privée financière est essentielle pour préserver notre liberté, cependant cela ne doit pas se faire au prix de la non-conformité ».

Après cela, les procureurs avancent d’autres messages de ce type, toujours aussi compromettants, en plus de faire la démonstration que les développeurs ont profité pécuniairement du blanchiment allégué.

Pour ce chef d’accusation, 20 ans de prison sont encourus par les développeurs.

ii) Complot en vue d’exploiter une société de transfert d’argent (« Money Transmitting Business ») sans licence.

Ici, un argument plus technique est avancé par les procureurs : la plateforme aurait dû au préalable faire une demande de licence de société de transfert d’argent, en vertu du Titre 18 du U.S Code (infractions et procédure pénale), Partie 1 (« Infractions »), Chapitre 95 (racket), Section 1960 (Interdiction des sociétés de transfert d’argent sans licence) (b)(1)(C), (c’est l’élément textuel, 1ʳᵉ condition) ce qui donne en français juridique :

« Quiconque dirige, contrôle, gère, supervise, dirige ou possède sciemment tout ou partie d’une entreprise de transfert d’argent sans licence sera condamné à une amende conformément à ce titre ou à une peine d’emprisonnement maximale de 5 ans, ou aux deux.
Tel qu’utilisé dans le présent article, le terme « entreprise de transfert d’argent sans licence » désigne une entreprise de transfert d’argent qui affecte le commerce interétatique ou étranger de quelque manière ou degré que ce soit, sans la licence nécessaire, ou qui implique le transport ou la transmission de fonds dont le défendeur sait qu’ils proviennent d’une infraction pénale ».

L’article précise qu’une société qui « transfère de l’argent » opère notamment des transferts de fonds par tous moyens, y compris, mais sans s’y limiter, les transferts à l’intérieur de ce pays ou vers des lieux à l’étranger par virement bancaire, chèque, traite, télécopie ou courrier.

L’élément matériel (ou factuel, 2ᵉ condition) est le fait d’avoir une société qui n’ait pas la licence adéquate, l’élément moral (ou intentionnel, 3ᵉ condition) est le fait pour le dirigeant de savoir que des fonds, ayant pour source une activité illégale, y transitent.

Une société de transfert d’argent doit s’enregistrer en tant que telle auprès du « Financial Crimes Enforcement Network » (FinCEN), qui est un bureau du département du Trésor américain, dont la mission est notamment de lutter contre le blanchiment d’argent. À ce titre, en même temps que l’enregistrement auprès du FinCEN, la société doit respecter des normes anti-blanchiment prescrites par un texte, le Bank Secrecy Act de 1970 (élément textuel, 1ʳᵉ condition), parmi les mesures que doivent mettre en place ces sociétés, figure notamment la procédure de vérification de l’identité de l’utilisateur, la fameuse procédure « Know Your Customer » ou « KYC ».

Les procureurs avancent que cette obligation concernent également les transactions de cryptos, notamment d’ether, mais surtout, que les développeurs ont réfléchi au fait d’implémenter une procédure de KYC, parce qu’ils savaient qu’ils devaient respecter ces normes de conformité anti-blanchiment (élément moral, 2ème condition).

Et ce, encore une fois, en s’appuyant sur des échanges entre ces derniers via messagerie chiffrée (et après avoir démontré qu’ils avaient le pouvoir d’implémenter ça techniquement de leur propre chef, sur l’interface utilisateur de la plateforme Tornado Cash).

Par exemple, le 16 novembre 2021, Roman Storm envoya, sur l’app de messagerie privée, aux autres développeurs, un lien vers un site qui contenait des instructions pour installer un programme implémentant une procédure KYC (élément matériel, 3ème condition).

Les procureurs, pour pouvoir soutenir leur argumentation comme quoi Tornado Cash, avant d’être une société de transfert d’argent sans licence, était surtout une société, argumentent également pour démontrer le contrôle effectif qu’avaient les développeurs sur la plateforme, et leur intention de gérer cette dernière pour leur permettre de générer du profit. Agissant alors comme des associés de société, sans se présenter comme tels pour se soustraire aux réglementations (en France, on appelle ça une « société créée de fait »).

A titre d’exemple, les procureurs citent un message envoyé par Storm aux deux autres développeurs : « Nous ne devrions jamais, même dans les conversations privées, parler comme si nous possédions/gérions Tornado ».

La peine d’emprisonnement pour ce chef d’accusation est de 5 ans.

iii) Complot en vue de violer l’« International Emergency Economic Powers Act (IEEPA) ».

L’IEEPA, acronyme pour « International Emergency Economic Powers Ac » soit en français « loi sur les pouvoirs économiques internationaux d’urgence » est une loi fédérale de 1977, des États-Unis autorisant le président à réglementer le commerce international après avoir déclaré une urgence nationale en réponse à toute menace inhabituelle et extraordinaire contre les États-Unis, qui trouve sa source en totalité ou partiellement en dehors des États-Unis.

C’est notamment cette loi qui permet aux présidents de signer les Executive Orders, que j’ai déjà cité.

C’est ici l’Executive Order 13722 qui est utilisé (élément textuel, 1ʳᵉ condition) contre les développeurs de Tornado Cash. Cet E.O fut signé en mars 2016 par le Président Barack Obama pour geler les avoirs du DRPK (la Corée du Nord), notamment en interdisant certaines transactions.

C’est d’abord l’OFAC qui l’a utilisé contre les développeurs, repris ensuite dans l’acte d’accusation contre ces derniers par le DoJ [12].

Cet E.O amende le Code de réglementation fédérale américain par un paragraphe n°510.210 listant tous les types de transactions interdites, dans la partie de la réglementation anti-blanchiment, déléguée à l’OFAC, concernant le DRPK [13].

Je ne vais pas d’avantage développer ici ce chef d’accusation, puisque les procureurs reprennent les mêmes arguments des deux autres chefs d’accusation pour démontrer l’élément matériel (des transactions liées au DRPK et leurs activités illégales passaient par Tornado Cash) et intentionnel (les développeurs le savaient).

Mais alors quid de la défense ?

iv) Les arguments de la défense.

• L’accusation de complot en vue de commettre un blanchiment d’argent.

Ici, les avocats de Storm (Brian E. Klein, Keri Curtis Axel, Kevin M. Casey du cabinet Waymaker LLP) avancent plusieurs arguments.

Tout d’abord ils viennent challenger l’élément textuel avancé par les procureurs : en se fondant sur la section 1956 du U.S Code, qui couvre les transactions provenant des « institutions financières », ils auraient fait une mauvaise application de la loi, puisque la plateforme Tornado Cash ne serait pas une « institution financière », et ne serait, par voie de conséquence : pas concernée par ce texte.

En effet, une institution financière est définie, selon le droit américain, par le US. Code via des références à divers types d’institutions financières, telles que les banques et les brokers/dealers ou notamment les personnes exerçant une activité commerciale dans le domaine du transfert d’argent (le fameux « Money Transmitting business »).

Le seul type d’institution applicable à l’acte d’accusation selon les avocats, aurait donc été le « Money Transmitting Business ».

Or, et nous le verrons plus tard, toujours selon le cabinet défendant Storm, les procureurs n’ont pas démontré que Tornado Cash était effectivement un « Money Transmitting Business », et donc : une institution financière. N’ayant donc pas réussi à démontrer ce fait (élément matériel), Tornado Cash ne serait pas concerné par la fameuse section 1956 du U.S Code (élément textuel).

Un autre argument de défense, serait le fait que l’accusation ne prouve pas qu’il y ait eu un arrangement, ou un accord de la part des développeurs à l’égard des hackers (élément moral/intentionnel).

Mais pourquoi prouver cela ? Les procureurs n’ont pas strictement accusé Storm d’un arrangement avec les hackers ?

Oui mais, souvenez-vous, les procureurs accusent les développeurs de « Complot/conspiration » en vue de commettre un blanchiment.

Et le 29 mai 2020 dans une jurisprudence, l’affaire U.S.A c/ Luke Jones, le complot/ conspiration a pu être défini comme « l’arrangement/ accord... de commettre un ou davantage d’actes illégaux » [14].

Et vous voyez où les avocats veulent en venir : s’il n’y a pas d’arrangement (élément matériel et moral) : l’infraction décrite par le texte n’est pas constituée (élément textuel).

Les avocats reconnaissent une négligence de la part des développeurs, mais qui ne doit certainement pas être confondue avec une « conspiration » en vue de commettre un blanchiment : ce serait une application dangereuse des textes :

« Le gouvernement (car le DoJ est une émanation du pouvoir exécutif américain : le ministère de la justice) tente de masquer le flou juridique dangereux et flagrant de ses accusations avec une théorie et des tactiques alarmistes. Il présente Tornado Cash comme un outil pour la Corée du Nord et les autres pirates informatiques criminels non identifiés, pour financer des activités illicites via des activités criminelles distinctes de complots de blanchiment d’argent. Mais les exemples allégués se sont tous produits après mai 2020, lorsque Tornado Cash était déjà publiquement accessible à toute personne disposant d’une connexion Internet, et personne ne pouvait alors modifier davantage les smart contracts. Il n’y a aucune allégation que M. Storm et les développeurs avaient eu des contacts avec des Nord-Coréens ou des pirates informatiques criminels, qu’ils avaient un quelconque contrôle sur leur prétendue utilisation abusive de Tornado Cash, ou qu’ils avaient aucun contrôle sur les produits des piratages qui auraient été déposés dans Tornado Cash. Le prétendu complot de blanchiment d’argent n’a commencé que bien après que les smart contracts de Tornado Cash soient devenus publics et immuables, et M.Storm et les développeurs ne sont pas présumé avoir touché de quelque manière que ce soit aux produits du crime allégué ».

Enfin, pour rétorquer face aux arguments utilisant les messages privés entre les développeurs, les avocats énoncent par exemple que le message « Guys, we are fucked » n’est que la réaction naturelle que quiconque aurait lorsqu’il se rend compte qu’il serait victime d’une cyberattaque d’une telle ampleur. Et le fait que les développeurs eurent annoncé publiquement leur volonté d’utiliser des outils de conformité, ne démontraient en rien qu’ils savaient qu’ils étaient concernés par l’obligation de s’enregistrer en tant que « Money Transmitting business », mais avait simplement pour but de rassurer le public à la suite de cet évènement.

• L’accusation de complot en vue d’exploiter une société de transfert d’argent (« Money Transmitting Business ») sans licence.

Comme je l’ai déjà mentionné, les avocats avancent que les procureurs n’ont pas réussi à démontrer que Tornado Cash était un « Money Transmitting business », et donc n’avait pas besoin d’une licence.

Pour cela, ils se basent sur les textes définissant le statut de « money transmitting business » notamment celui figurant à la section 5330 du Titre 31 du U.S Code qui définit un service de transmission d’argent comme celui qui comprend à la fois un « service de transmission d’argent », et qui inclut les personnes « acceptant des devises, des fonds ou des valeurs qui remplacent des devises et transmettant des devises, des fonds ou des valeurs qui remplacent des devises par quelque moyen que ce soit ».

Mais cette définition étant trop large, elle est précisée par celle du Bank Secrecy Act de 1970 qui exige et habilite le secrétaire au Trésor à définir plus précisément quelles entreprises sont tenues de s’enregistrer en tant que « Money Transmitting Business » et quelles devraient être leurs obligations de conformité.

Et c’est là où les avocats énoncent que les allégations de l’acte d’accusation sont insuffisantes pour constater une infraction car selon cette loi : le contrôle des fonds transmis (dans ce cas, les cryptos) est une condition préalable pour être un « Money Transmitting Business », et aucun développeur du « service Tornado Cash » n’a jamais eu un tel contrôle.

En effet, le texte précise que la société doit opérer l’« acceptation » et la « transmission », or, selon la défense ces actes, par leur nature même, nécessitent la notion de contrôle.

Ainsi, il est argué que « l’entreprise qui transmet de l’argent » ne le peut qu’avec le contrôle des fonds, s’il ne l’a pas : il ne peut ni les accepter, transmettre ou transférer.

Et c’est une interprétation du texte qui ne sort pas de l’imagination des avocats, puisqu’elle se base sur une jurisprudence rendue à ce propos, l’affaire USA c/ Velastegui du 8 juin 1999, jugée par la même juridiction de New-York [15].

Enfin, dans le fonctionnement du protocole, existe une « note secrète » - qui permet à l’utilisateur d’accéder et d’utiliser les fonds - qui est uniquement en possession de l’utilisateur et n’est pas partagée avec n’importe qui (sauf s’il choisit de la partager évidemment), ni même les développeurs. Le contrôle serait donc exclusivement du côté de l’utilisateur.

D’autres arguments sont avancés, comme par exemple le fait qu’un « Money Transmitting Business » demandent des frais à chaque transaction, ce qui n’était pas le cas de Tornado Cash, mais c’est cette notion de « contrôle » qui constitue le cœur de l’argumentaire de la défense, pour refuser la soumission de Tornado Cash au statut de « Money Transmitting Business ».

• L’accusation de complot en vue de violer l’« International Emergency Economic Powers Act (IEEPA) ».

Enfin, pour contrer ce chef d’accusation, qui permet au DoJ et à l’OFAC de faire application de l’Executive Order 13722, les avocats des développeurs brandissent un texte, et pas des moindres : le premier amendement de la Constitution américaine qui protège le droit à la liberté d’expression.

En effet, des jurisprudences américaines soutiennent que le code informatique est protégé par le premier amendement : c’est l’exemple de l’affaire See Universal City Studios, Inc. v. Corley du 29 novembre 2001, dans laquelle il est jugé qu’ « un code informatique transmettant des informations est une « expression » au sens du premier amendement » [16].

De plus, une exemption aux pouvoirs d’interdiction donnés au Président via l’IEEPA a été créée en 1988 : le « Berman Amendment ». Il exempt du champ de contrôle de l’IEEPA (et donc des E.O) les matériels d’information (un livre, un CD-ROOM etc..), et les avocats arguent qu’un logiciel tel un smart contract rentre dans cette exemption.

Enfin, sans rentrer dans les détails, les avocats contestent l’application de l’IEEPA à l’encontre de Roman Storm en arguant que cette application doit se faire : si il est prouvé que le développeur cherche à contourner les sanctions envers le DRPK (but de l’IEEPA), or jamais cette intention n’aurait été prouvée (élément intentionnel).

Ces arguments juridiques ont pu être développés depuis, par de nouvelles écritures, que ce soit de la part des procureurs comme des avocats de la défense.

Le procès de Roman Storm est prévu pour septembre 2024, il plaide non-coupable. Roman Semenov est toujours en liberté [17].

c) Les soutiens de Storm et Semenov.

En plus du soutien du lanceur d’alerte Edward Snowden, d’autres personnes sont venues soutenir les développeurs. C’est notamment le cas de 6 utilisateurs de Tornado Cash qui ont porté plainte contre le ministère de la justice américain lui-même (le DoJ), un mois après l’inscription de Tornado Cash sur la SDN list : Joseph Van Loon, Tyler Almeida, Alexander Fisher, Preston Van Loon, Kevin Vitale, et Nate Welch.

Parmi ces plaignants figurent 2 employés de Coinbase : la deuxième plus grosse plateforme internationale d’échanges de crypto-actifs (terme que l’on nommera plus simplement ici « exchange ») en terme de volume [18].

Par la voix de son directeur juridique Paul Grewal, l’exchange a manifesté son support aux plaignants, voyant les actions de l’OFAC comme une menace à la liberté d’expression, menaçant quiconque pourrait coder un programme qui, un jour, pourrait servir à des activités illégales.

C’est d’ailleurs l’argument des plaignants : les deux Executive Orders utilisés par l’OFAC pour sanctionner Tornado Cash et ses développeurs ne peuvent s’appliquer au cas.

En effet, ces E.O s’appliquent aux « entités » ou « personnes », là où Tornado Cash est un logiciel Open Source. De plus, l’organisation visée par les E.O doit avoir un « intérêt de propriété » dans le logiciel (Smart contract) faisant fonctionner le mixer, or les plaignants arguent que le protocole Tornado Cash est décentralisé et open source, les développeurs n’ayant par conséquent aucun droit de propriété ni intérêt à ce titre sur le protocole.

Il faut comprendre que ces conditions liées à l’application des E.O par l’OFAC, sont des garde-fous contre les actions de l’autorité : tant que ces conditions ne sont pas remplies, elle ne peut agir.

Ainsi, en agissant comme il l’a fait, l’OFAC a dépassé ses pouvoirs, en violant par la même occasion la liberté d’expression des plaignants protégée par le 1er amendement, en les empêchant de faire des dons conséquents de manière anonyme pour des raisons politiques, via Tornado Cash, notamment en soutien à l’Ukraine.

Le 17 août 2023, les juges du district ouest de la division Austin du Texas (juridiction saisie par les plaignants) a rejeté leur plainte. Estimant que Tornado Cash était bien une entité (prenant la forme d’une association) qui avait des intérêts visés par l’E.O dans le smart contract, et l’OFAC ayant agit sans violer le 1er amendement.

Les plaignants ont fait appel le 13 novembre 2023, la procédure est toujours en cours.

Coinbase a de nouveau manifesté son soutien auprès des plaignants : l’une des plus grosses plateformes centralisées venant au secours de la décentralisation.

Enfin, c’est en tant qu’« Amicus Curiae » qu’est intervenue la Blockchain Association en soutien à la procédure des plaignants lors de leur appel, une semaine plus tard.

« Amicus Curiae » signifie en latin « ami de la cour », il s’agit d’une personne, physique comme morale (société ou par exemple association) qui souhaite éclairer les juges sur des éléments factuels ou opinions pouvant les aider dans leur prise de décision.
Dans leurs écritures, l’association, en plus de soutenir l’argument énonçant que Tornado Cash ne correspond pas aux critères permettant à l’OFAC d’agir (être une personne ou une entité, et le fait que le protocole soit sujet à un droit de propriété), soutient que ce protocole est décisif dans la défense et la préservation de la confidentialité, et vie privée financière de tout un chacun. Le protocole étant de plus, un outil logiciel clé pour l’environnement crypto, indépendant de ses créateurs.

« Ce logiciel n’a ni propriétaire ni opérateur, et il fonctionne automatiquement sans aucune intervention ni assistance humaine. Comme n’importe quel outil - en fait, comme Internet lui-même - un logiciel comme Tornado Cash peut être utilisé à mauvais escient à des fins illicites. Mais il est principalement utilisé pour des raisons légitimes et socialement valables » [19].

II. L’affaire Samouraï Wallet.

Le verdict d’Alexey Pertsev en première instance, qui a été prononcé le 14 mai dernier est l’évènement ayant ravivé la flamme de cette lutte ô combien contemporaine de l’anonymat contre la régulation. Toutefois, cette flamme fut surtout ravivée par de nouvelles arrestations : celles de Keonne Rodriguez et William Lonergan Hill : les fondateurs du portefeuille de crypto-actifs Samouraï Wallet, le 24 avril 2024.

C’est sur le site du DoJ, que l’on peut alors apprendre le travail coordonné entre l’autorité déjà connue, avec le FBI, l’IRS (fisc américain) ; Europol, la police judiciaire portugaise et la police islandaise pour aboutir à l’arrestation du CEO (Keonne Rodriguez) le matin même aux États-Unis. Le CTO (William Lonergan Hill) fut lui arrêté la même journée au Portugal, et les serveurs du site furent saisis par les autorités islandaises, la version mobile fut également retirée du Google Play Store (la version mobile n’était disponible que sur Androïd).

Ici, qu’est-ce qui est reproché aux fondateurs du wallet ?

Et bien les mêmes accusations portées à l’égard de Tornado Cash : d’abord un complot en vue de commettre un blanchiment d’argent, puis un complot en vue d’exploiter une société de transfert d’argent (« Money Transmitting Business ») sans licence.

a) Complot en vue de commettre un blanchiment d’argent.

Il faut tout d’abord comprendre que le wallet de Samouraï proposait le même service que Tornado Cash : un mixer de crypto-actifs via la fonctionnalité Whirlpool (« tourbillon » en français), et une fonctionnalité permettant de faire passer une transaction par plusieurs adresses avant d’arriver à l’adresse de destination, pour brouiller les pistes : la fonctionnalité « Ricochet ».

En tout, le DoJ accuse les fondateurs, via leurs services, d’avoir permis le blanchiment d’au moins 100 millions de dollars depuis la création du Wallet, soit 2015. Ces fonds prenant leur source dans des activités illégales notamment de marketplaces illicites du darkweb, comme la célèbre plateforme « Silk Road » (1 500 bitcoins environ) ou encore la marketplace russe « Hydra Market » (44 bitcoins environ), le reste proviendrait de diverses activités illégales, par exemple des hacks sur des protocoles de finance décentralisée (environ 1343 bitcoins).

Reprenons donc notre mantra : l’élément légal (1ère condition) se trouve de nouveau au titre 18 du U.S Code (« Infractions et procédure pénale »), Partie 1 (« Infractions »), chapitre 95 (« Racket »), section 1956 (« Blanchiment et instruments monétaires »), (a) (1) (B) (i).

Ce fondement juridique étant celui utilisé pour le même chef d’accusation à l’encontre de Tornado Cash, je ne vais pas le détailler une seconde fois.

L’élément matériel (2ème condition, les faits), consiste en le blanchiment des fonds issues des activités illégales décrites plus haut (comme les fonds provenant de Silk Road).

Concernant l’élément moral (3ème condition, l’intention), les procureurs se fondent sur le fait que les fondateurs savaient qu’ils auraient dû implémenter des outils de surveillance anti-blanchiment comme une procédure KYC, mais ne l’ont pas fait délibérément, sachant alors que des fonds provenant d’activités illégales, pourraient transiter via leur plateforme.

Malheureusement, ce ne sont pas leurs anciens tweets qui viendraient les aider, au contraire, l’accusation se sert de certains d’entre eux pour prouver cet élément moral, quelques exemples :

• Le 30 juin 2022, alors que les sociétés européennes cryptos sont soumises à l’obligation réglementaire d’avoir des procédures internes, pour s’assurer de pouvoir cibler les oligarques russes utilisant les cryptos pour échapper aux sanctions européennes, Rodriguez publia un tweet via le compte Samouraï Wallet, en citant cette obligation : « Bienvenue aux nouveaux utilisateurs oligarques russes de Samouraï Wallet ».

Les procureurs arguent à ce titre que c’est justement l’absence de toute procédure de conformité, comme le KYC, ou encore l’absence de conditions générales, qui rendait le wallet très avantageux pour ces oligarques fuyant les sanctions économiques de l’UE, les développeurs le savaient et en faisaient la promotion.

• Le 27 août 2020, via son compte @SamouraiDev, le CTO de Samouraï Wallet répondit en message privé à un utilisateur twitter, en parlant de l’utilisation du Wallet par des utilisateurs de plateformes du darknet : « Chez Samourai, nous nous concentrons entièrement sur la résistance à la censure et l’économie circulaire noire/grise (les marchés noirs) ».

• Plus tard, le 16 mars 2021, en réponse à un article d’Europol présentant Samouraï Wallet comme une « menace majeure » pour la capacité des forces de l’ordre à retrouver les produits d’activités criminelles, le CTO, toujours via son compte twitter, répondit par un tweet public : « Est-ce que vous nous voyez faire dans notre froc ? »

Pour rappel, pour ce chef d’accusation : 20 ans de prison sont encourus par les développeurs.

b) Complot en vue d’exploiter une société de transfert d’argent (« Money Transmitting Business ») sans licence.

Ici, je ne vais pas développer davantage ce chef d’accusation, qui se base sur le même raisonnement que celui invoqué à l’égard de Tornado Cash.

Pour rappel, pour ce chef d’accusation : les développeurs encourent 5 ans de prison. L’affaire est toujours en cours, le CEO a été libéré sous caution de 1 million de dollars [20].

Conclusion.

Le 25 avril 2024, le FBI publia un avertissement à l’égard des utilisateurs de crypto-actifs, sur l’usage de services ou portefeuilles cryptos qui ne seraient pas en conformité avec les réglementations états-uniennes, notamment en n’ayant pas de KYC. Ce serait le cas de beaucoup de célèbres portefeuilles comme Metamask. Le FBI déclare dans cette alerte :
« Les personnes qui utilisent des services de transfert d’argent en crypto-monnaie sans licence peuvent rencontrer des perturbations financières lors des mesures d’application de la loi, en particulier si leur crypto-monnaie est mêlée à des fonds obtenus par des moyens illégaux ».

La guerre est donc déclarée contre les mixers, s’étendant même jusqu’aux fameux wallets « non-custodial » : les portefeuilles non détenus par des entités centralisées comme Coinbase par exemple [21].

Depuis ces affaires, ce ne sont plus seulement les juges mais bien les législateurs qui mènent une véritable guerre contre ces outils d’anonymisation des transactions.

En effet, du côté de l’Union européenne, le 28 mars dernier, le Parlement européen a adopté un nouveau règlement : le règlement « AMLR » (« Anti-Money Laundering Regulation » ou « Règlement anti-blanchiment d’argent » en français).

Dans ce texte figurent de nombreuses mesures anti-blanchiment qui seront imposées aux diverses institutions financières de l’UE, dont les futurs prestataires crypto « CASP » (« Crypto-Asset Services Providers ») créés par le nouveau règlement de l’UE sur les cryptos « MiCA ».

Au sein de ces mesures, figurent notamment l’interdiction pour ces CASP de proposer la conservation de « privacy coins » permettant à ses utilisateurs d’êtres anonymes, comme ZCASH ou Monero (à moins de procéder à une vérification d’identité de l’utilisateur, et de l’historique des transactions liées au token, vidant le token de sa substance, ne laissant sinon que la spéculation), et l’interdiction d’utiliser des outils d’anonymisation des transactions, donc des mixers comme Tornado ou Whirlpool [22].

Du côté des États-Unis, une proposition de loi a été faite devant le congrès le 6 mai dernier, contenant un moratoire interdisant aux institutions financières d’interagir avec des mixers de crypto-actifs pour un délai de deux ans. Ce délai étant prévu pour que les institutions, régulateurs et législateurs américains puissent aborder la question des mixers et des privacy coins [23].

Ces affaires sont emblématiques du conflit idéologique opposant le droit à la vie privée ainsi que la liberté d’expression à la notion de sécurité publique (notion de droit administratif français).

La guerre fait rage, et pas depuis la publication du whitepaper de bitcoin. Elle a eu son lot de batailles notamment durant les premières années d’internet, que ce soit via l’alerte donnée par Edward Snowden, les lois désireuses d’enlever tout anonymat sur le net comme la loi AVIA, la surveillance des données par les agences gouvernementales ou encore par les grosses entreprises des GAMAM (Google, Apple, Meta, Amazon, Microsoft).

Qu’est-ce qui est le plus important ? La sécurité des populations, via la lutte contre les criminels en gelant leurs fonds et leur coupant accès à tout dispositif de blanchiment d’argent ? Ou la préservation d’outils d’anonymat des transactions, pourtant utiles aux activistes ou populations opprimées par une dictature ? De plus, doit-on sanctionner le développeur : simple artisan d’un outil pratique au service des libertés individuelles, ou véritable complice des criminels, motivé par le profit ?

Je me souviens, lorsque plus jeune, j’ai rencontré pour la première fois quelqu’un qui travaillait dans la cybersécurité, qui avait une hygiène numérique irréprochable et multipliait de solutions pour rester anonyme sur le net, je lui ai demandé la raison de ses habitudes, il m’a répondu : « Avant pour se défendre on avait un fusil sous son lit, aujourd’hui c’est selon moi la seule façon de le faire et de garder le contrôle ».

Ces questions et ces batailles ne sont pas évidentes, surtout pour un juriste : j’ai grandi avec internet, je crois en l’importance de l’anonymat, mais je crois aussi en l’État de droit et l’ordre public.

Si l’un est dans un cas plus important que l’autre, un équilibre doit être trouvé au cas par cas, de manière proportionnée, plutôt que d’y répondre par des solutions trop générales. Et ce au risque de voir se multiplier des dérives dignes du Léviathan de Hobbes : un gardien, une puissance publique, qui n’a plus pour but d’être juste, mais seulement de faire régner la sécurité, à tout prix.