Dans les initiatives pour lutter contre les ransomwares, la question de la traçabilité des paiements en cryptomonnaies revient assez régulièrement. On ne s’étonnera donc pas que la Commission européenne s’y intéresse. Elle vient de formuler des propositions réglementaires visant à renforcer ses règles de lutte contre le blanchiment d'argent (AML) et le financement du terrorisme (CFT) pour lutter contre la criminalité financière.

Une extension de la traçabilité des transferts de cryptomonnaies

Et un élément clé de ces propositions concerne la traçabilité et la sécurité des transferts d'actifs de cryptomonnaies. L’exécutif bruxellois veut obliger les entreprises à collecter certains détails sur les destinataires et les expéditeurs et interdire l’usage de portefeuilles de cryptomonnaies anonymes. Dans un communiqué de presse annonçant ces propositions, la Commission explique en quoi ce cadre améliorait la traçabilité des cryptomonnaies et pourquoi l'ampleur du problème justifie une telle action. « À l'heure actuelle, seules certaines catégories de fournisseurs de services d'actifs de cryptomonnaies sont incluses dans le champ d'application des règles de l'UE en matière de lutte contre le blanchiment d'argent et le financement du terrorisme. Les modifications apportées aujourd'hui garantiront une traçabilité totale des transferts d'actifs de cryptomonnaies comme le bitcoin, et permettront de prévenir et de détecter leur utilisation éventuelle à des fins de blanchiment de capitaux ou de financement du terrorisme », indique le communiqué.

« De plus, les portefeuilles anonymes d'actifs de cryptomonnaies seront interdits, appliquant pleinement les règles de l'UE ». Ces propositions incluent aussi la création d’une autorité de lutte contre le blanchiment d'argent, dont le rôle principal sera « de coordonner les autorités nationales afin de garantir que le secteur privé applique correctement et de manière cohérente les règles de l'UE, afin de combler les failles juridiques que les criminels peuvent exploiter », comme l’a déclaré Mairead McGuinness, la commissaire responsable des services financiers, de la stabilité financière et de l'union des marchés des capitaux. Les propositions seront examinées par le Parlement européen et le Conseil. Si elles sont adoptées, elles pourraient entrer en vigueur en 2024.

Combler des lacunes, mais des règles insuffisantes

Avec ces règles, l'UE a clairement l'intention de « combler les lacunes des règles existantes de lutte contre le blanchiment d'argent et le financement du terrorisme », a expliqué pour sa part Martha Bennett, vice-présidente et analyste principale chez Forrester Research, mais celle-ci alerte sur le fait que des failles pourraient subsister dont les cybercriminels sauront tirer parti. « L'interdiction des portefeuilles anonymes d'actifs de cryptomonnaies est conforme aux dernières propositions de la Travel Rule du Groupe d’Action Financière (GAFI), et n'est donc pas une surprise », a encore déclaré Mme Bennett. « Cependant, selon certains rapports, les portefeuilles anonymes non conservés et les portefeuilles non hébergés détenus par les utilisateurs eux-mêmes pourraient être exemptés des propositions, ce qui laisse potentiellement une échappatoire ». Martha Bennett pense que l’impact de ces propositions pour endiguer la cybercriminalité, notamment sur les ransomwares, sera mineur à court terme.

« Tant que les cybercriminels peuvent migrer leurs monnaies (telles quelles, mélangées ou changées en une autre crypto-monnaie) vers une juridiction, ou un certain nombre de juridictions, avec moins de surveillance mais suffisamment de liquidités, des règles comme celles-ci peuvent les gêner, mais pas les bloquer ». Selon l’analyste, il faudrait une action coordonnée à l'échelle mondiale pour rendre l’accès aux liquidités plus difficile et/ou compliquer le blanchiment de la monnaie pour les criminels. « Ce n'est qu'une fois un certain seuil atteint que la réglementation aura un effet dissuasif sur ces groupes criminels organisés à l'origine de la vague actuelle d'attaques », a-t-elle encore déclaré. Erhan Temurkan, responsable de la sécurité de l'information pour la FinTech Bink, a le même avis sur le sujet. Même s’il considère la réglementation comme une mesure positive qui se faisait attendre, il estime que l'impact global sur la cybercriminalité sera probablement minime. « On sait que les cybercriminels utilisent des services de tumbler/mixer de bitcoins, qui mélangent les cryptomonnaies originales à d’autres microtransactions, ou à une autre crypto-monnaie, pour brouiller les pistes et dissimuler la véritable identité de l'expéditeur original. Il est probable que ces derniers auront davantage recours à ce type de services quand le cadre réglementaire entrera en vigueur ».