L’Américain Richard Sanders traque en Ukraine les flux de cryptomonnaie utilisés par la Russie pour échapper aux sanctions et financer la guerre. Selon lui, les techniques permettant d’identifier ces flux financiers sont simples, mais trop rarement mises en œuvre. « Le problème n’est pas la technologie, mais le manque de volonté politique. »
Au son des sirènes d’alerte aérienne, le chercheur Richard Sanders suit la trace des flux numériques. Depuis trois ans, il aide la police et les services de renseignement ukrainiens à remonter les transactions en cryptomonnaies. Chaque paiement inscrit sur la blockchain – le registre public de toutes les transactions crypto – est associé à un wallet (portefeuille numérique) identifié par un long code anonyme. La spécialité de Sanders est le « labelling » de ces wallets. Soit attribuer ces adresses à des individus ou organisations. Cela permet de savoir qui se cache derrière, et où l’argent circule. « Ce n’est pas un jeu fait de zéros et de uns », dit-il depuis Kiev. « Il s’agit de vies humaines. »
Une caisse de guerre numérique
Selon Sanders, la Russie utilise les cryptomonnaies comme une véritable caisse noire: paiement de propagande, rétribution de collaborateurs dans les territoires occupés, et surtout contournement des sanctions internationales.
Un exemple est la campagne StopGrave dans la ville portuaire d’Odessa, une opération hybride russe qui diffuse des messages antimobilisation via Telegram, affiches, autocollants et graffitis. Le nom est un jeu de mots entre « mobilisation » et « tombe », destiné à décourager les Ukrainiens de s’enrôler. Des personnes étaient rémunérées en cryptomonnaies pour inscrire de tels slogans ou distribuer des tracts. Mais cela allait beaucoup plus loin : actes de sabotage tels que l’incendie de véhicules, la transmission de coordonnées et de photos d’infrastructures, et même des attaques ciblées contre des policiers et des militaires.
Sanctions sans contrôle
« Les sanctions ne fonctionnent que si leur application est contrôlée », explique-t-il. L’Office of Foreign Assets Control (OFAC), qui gère les listes noires américaines, peut interdire des entreprises, mais celles-ci rouvrent aussitôt sous un autre nom. Sanders raconte avoir vu un bureau de change russe inscrit sur la liste de l’OFAC se vanter de continuer ses activités sans problème. « J’ai transmis des preuves, rien ne s’est passé. Et ce sous Trump comme sous Biden. Ce n’est donc pas une question de parti. Le problème, c’est le pouvoir de lobbying des fraudeurs crypto. »
Le rôle des OTC et des plateformes parallèles
Un bureau de change « hors marché » (OTC – over the counter en langage crypto) permet de convertir anonymement du cash en crypto (ou l’inverse).
Sanders observe que ces bureaux de change et structures similaires se présentent souvent comme de simples prestataires de paiement. De nombreuses entreprises cryptos russes et groupes de hackers font transiter leurs transactions via la plateforme Cryptomus, officiellement enregistrée au Canada mais en réalité tournée vers une clientèle russe. À chaque paiement, une nouvelle adresse numérique est automatiquement générée, ce qui complique la traçabilité des flux financiers. Un autre exemple est WestWallet, officiellement domicilié en Estonie.
Ces deux OTC travaillent pour des dizaines de plateformes russes de cryptomonnaies et des « instant exchanges » – sites permettant d’échanger des cryptos en quelques minutes sans vérification d’identité. Selon Sanders, ils servent principalement à des paiements ultrarapides et à des services d’hébergement douteux proposés sur des forums illégaux. Grâce à ces canaux, les Russes peuvent convertir leurs cryptomonnaies en liquidités auprès de grandes banques russes, pourtant visées par les sanctions occidentales.
Bon nombre de ces sites fonctionnent sur des serveurs russes ou sur des serveurs européens contrôlés par la Russie, tout en continuant à utiliser des services internet occidentaux, tels que Cloudflare, pour rester en ligne.
Il est facile de contourner les sanctions
Selon Sanders, cela illustre à quel point il est facile de contourner les sanctions. Lorsque de grandes plateformes comme Binance ont commencé en 2023 à exclure les utilisateurs russes, les entreprises crypto et réseaux de hackers visés se sont simplement tournés vers de petites « bourses-éclairs » non contrôlées, telles que Cryptomus et WestWallet. « Il est même devenu plus simple encore de contourner les sanctions », affirme Sanders. « Ces services d’échange rapide ne demandent aucune pièce d’identité et échappent à la plupart des régulateurs. »
Elles donnent l’apparence de services de paiement classiques, mais ne sont en réalité que des relais pour des acteurs placés sous sanctions. « Les autorités allemandes ont fermé plus de quarante de ces bourses russes l’année dernière. Sur la blockchain, on ne voit que de longs codes, mais les chercheurs les relient à des noms comme Cryptomus ou WestWallet. »
De la même manière que la Russie contourne les sanctions pétrolières en transférant du brut entre navires sans pavillon ni transpondeur, ces services cryptographiques masquent l’expéditeur et le destinataire réels de l’argent.
Du contre-terrorisme à l’Ukraine
Il y a dix ans, Sanders a commencé à suivre les transactions en cryptomonnaies dans le cadre de son travail de lutte contre le terrorisme. « La question était souvent : comment une organisation terroriste obtient-elle un faux passeport ou d’autres documents de voyage ? La réponse venait souvent de la crypto. Et c’est toujours le cas aujourd’hui », explique-t-il. « Dix ans plus tard, on me demande encore : comment les Russes ou l’État islamique fait-il cela ? La réponse revient presque toujours à la crypto. »
En 2017, il a fondé CipherBlade (aujourd’hui Cryptoforensic), une société américaine spécialisée dans l’analyse blockchain et premier partenaire de recherche certifié de Chainalysis, l’entreprise la plus connue dans l’investigation des blockchains et des réseaux crypto. CipherBlade a notamment travaillé pour des services de police et des plateformes d’échange de cryptomonnaies. Depuis son installation en Ukraine, Sanders a tourné le dos aux activités commerciales : « Je suis très éloigné de ce que font la plupart des acteurs privés », dit-il. « Pour le type de travail que je mène aujourd’hui, il n’y a tout simplement pas de financement, car les entreprises n’investissent que dans des projets servant leurs propres intérêts. »
Peu après l’invasion russe en février 2022, Sanders a reçu un e-mail du responsable des enquêtes crypto de la police nationale ukrainienne, l’invitant à venir donner des cours. Ils avaient été impressionnés par son travail chez CipherBlade. « J’avais déjà envisagé de m’engager comme volontaire au sein de la Légion internationale pour la défense de l’Ukraine, mais cela convenait encore mieux », confie-t-il. Ce qui devait durer trois semaines s’est transformé en plusieurs années. Depuis, Sanders parcourt le pays, souvent tout près du front, pour travailler aux côtés des policiers et des militaires sur des affaires en cours.
L’axe de la misère
Dans ses enquêtes, la piste mène souvent vers la Russie, l’Iran et la Corée du Nord – ce qu’il appelle l’« axe of shit » (l’axe de la misère). Avec moins de 10.000 dollars de budget d’investigation, il a identifié près de 40 plateformes d’échange iraniennes de cryptomonnaies. Selon lui, la Corée du Nord finance une grande partie de son programme nucléaire grâce au vol de cryptoactifs. « Mais ça, tout le monde le sait », ajoute-t-il.
Interrogé sur les monnaies utilisées par ces États et groupes terroristes, sa réponse est claire : « Presque toujours des stablecoins, surtout l’USDT. »
Les stablecoins sont des cryptomonnaies adossées à une devise traditionnelle, le plus souvent le dollar américain, de sorte que leur valeur reste stable. Elles servent à transférer de l’argent rapidement, à l’échelle mondiale, et en dehors du système bancaire. L’USDT est l’actif émis par Tether, l’acteur dominant de ce segment, qui met en circulation des « dollars numériques » échangeables sur pratiquement toutes les plateformes de cryptomonnaies. Pour Sanders, c’est justement cette stabilité et cette disponibilité qui rendent l’USDT si attractif pour les criminels : « Tether peut bien faire du lobbying pour changer cette image, mais quiconque labellise les plateformes voit les volumes réels. Les criminels n’utilisent presque plus le bitcoin. »
Le labelling des wallets est la clé
Une grande partie de son travail concerne les OTC (points de change physiques), où du cash est échangé contre des cryptos en dehors des bourses en ligne classiques. En Pologne, il est tombé sur un tel bureau, situé près de l’ambassade américaine à Varsovie, qui avait reçu plus de 3 millions de dollars en provenance d’Iran en une seule année. « Si quelqu’un a une explication légitime à cela, je suis preneur », dit-il. Selon lui, les gouvernements passent à côté d’informations cruciales car ils partent du principe que « quelqu’un d’autre les collecte » – une idée fausse entretenue par le secteur crypto lui-même.
Le labelling des wallets – associer des adresses crypto à des descriptions précises – est, selon Sanders, la clé. Cela permet de révéler l’origine et la destination des fonds. Les sociétés privées d’analyse le font de moins en moins, car ce travail de labellisation peut conduire à des blocages et donc réduire leurs revenus.
Hamas
En 2024, Sanders a décidé de tester lui-même la réactivité des entreprises du secteur crypto. Il a envoyé un e-mail directement à l’organisation terroriste Hamas, depuis l’adresse anodine chocolategoddess@protonmail.com, pour demander un portefeuille destiné à une « donation ». La réponse est arrivée immédiatement.
« On me demande souvent : comment font les Russes, ou l’État islamique ? La réponse revient presque toujours à la crypto. » Richard Sanders, enquêteur crypto en Ukraine
Il a transmis cette adresse à la FBI ainsi qu’à Tether. La plateforme d’échange Bybit a bloqué le compte presque aussitôt, mais Tether a attendu une décision judiciaire avant d’agir. À ce moment-là, les autorités n’ont réussi à geler que 200.000 dollars, alors que, selon Sanders, elles auraient pu intercepter plus de 10 millions.
« Le lendemain du communiqué du département de la Justice américain, Chainalysis a publié un billet de blog présentant le PDG de Tether comme un partenaire énergique et exemplaire dans la coopération avec la justice », raconte Sanders. « Mais il n’y avait rien d’énergique. Lorsqu’on reçoit une preuve irréfutable que des portefeuilles sont liés au terrorisme, la seule réaction logique est de les bloquer immédiatement. »
Un secteur transformé en casino
Dans le secteur, beaucoup citent l’Ukraine comme un modèle d’utilisation légitime des cryptomonnaies, surtout en temps de guerre. Sanders conteste cette vision : selon lui, une grande partie du volume de transactions provient en réalité du trafic de drogues, de la corruption et des paiements à des collaborateurs. « Il y a des usages légitimes, mais la majorité ne l’est pas.Beaucoup d’acteurs ayant des intérêts directs financent des rapports qui affirment le contraire. »
Concernant le secteur crypto en général, il est catégorique : « La technologie est solide. La blockchain pourrait être utile pour les élections, la santé ou la logistique. Mais le secteur, lui, est un casino : presque tout n’est que spéculation. Des escrocs qui publient de faux rapports, comme le patron de Tether, sont qualifiés de visionnaires. Sans un grand nettoyage, il n’y aura pas d’acceptation réelle du système. »
« Le labelling des wallets – rattacher des adresses crypto à des descriptions claires – pourrait permettre des saisies de plusieurs milliards. »
L’image avant tout
Il critique surtout la gestion d’image des grands acteurs : « Tether, Binance, les sociétés d’analyse… tous soignent leur réputation à coups de conférences et de rapports, mais passent rarement à l’action. Tout est une question de rapport risque-bénéfice : coopérer avec les États-Unis ou Israël, mais ignorer les demandes des pays en développement, même avec un mandat judiciaire. Ce n’est pas la qualité des preuves qui compte, mais la peur des sanctions. »
« Mon âme n’est pas à vendre »
Heureusement, les services d’enquête comprennent désormais mieux la blockchain, estime Sanders : « Sur le terrain, ils savent s’en servir. Le FBI a désormais au moins un agent formé à l’analyse des transactions crypto dans chaque bureau. J’en suis heureux. »
Mais le problème se situe plus haut dans la hiérarchie : « Les grandes entreprises induisent les décideurs politiques en erreur en affirmant que la criminalité liée à la crypto est en baisse, aussi bien dans leurs rapports que parfois sous serment. » Ils croient qu’il n’y a pas de problème, et ne financent donc pas le travail de labelling des portefeuilles, alors que cela pourrait générer des milliards supplémentaires de saisies. »
Le travail reste difficile et risqué : « C’est frustrant, car je fais presque tout seul », dit Sanders. « Ce serait moins lourd si certaines sociétés d’analyse faisaient elles-mêmes un peu de terrain, même dans des pays sûrs. Mais tant qu’elles ne le font pas, je resterai ici, j’irai dans les endroits où elles ne vont pas, et je ferai ce qui est nécessaire. »
Pour l’instant, il reste à Kiev : « Les actes valent plus que les mots, et mon âme n’est pas à vendre. Il fallait que quelqu’un se lève dans un secteur en faillite morale. »
