Points clés
- La blockchain est un registre public et permanent de chaque transaction jamais réalisée. Rien n'est supprimé, rien n'est discrètement révisé.
- Les adresses crypto sont pseudonymes, pas anonymes. Chaque adresse traîne un historique de transactions complet qui se relie à une identité réelle via les données KYC des plateformes d'échange et les schémas comportementaux.
- Les enquêteurs utilisent le regroupement d'adresses, l'analyse de graphes et des bases de données étiquetées pour suivre les fonds à travers les portefeuilles et les chaînes, souvent en temps réel.
- Les stablecoins peuvent être gelés à la demande des forces de l'ordre, ce qui en fait un outil à double tranchant pour les criminels qui en dépendent.
- Les 48 premières heures après un vol constituent la fenêtre la plus critique. Des sociétés comme Match Systems travaillent directement avec les plateformes d'échange pour signaler et geler les fonds avant leur retrait, mais le processus doit commencer immédiatement.
Dans cet article
- Le registre qui n'oublie jamais
- Pseudonyme, pas anonyme
- Comment les enquêteurs retracent réellement les fonds
- Les chiffres derrière la traçabilité
- Ce que les mixeurs et les cryptomonnaies de confidentialité peuvent (et ne peuvent pas) faire
- Stablecoins : l'ironie de l'actif criminel préféré
- Pour les victimes : que faire dans les 48 premières heures
- FAQ
Le registre qui n'oublie jamais
L'idée reçue la plus tenace en matière de sécurité crypto est que la cryptomonnaie serait intraçable. C'est une supposition que nous rencontrons constamment dans nos enquêtes, et qui joue systématiquement contre les victimes qui attendent avant de signaler un vol, en présumant qu'on ne peut rien faire.
La blockchain est un registre public en ajout seul (append-only). Chaque transaction qui a jamais eu lieu est enregistrée : adresse de l'expéditeur, adresse du destinataire, montant, horodatage. Ces données sont scellées dans un bloc au moyen d'un hash cryptographique qui le relie à tous les blocs qui le précèdent. Changez un seul caractère d'une transaction passée et le hash se brise, ce que chaque nœud du réseau détecte immédiatement. C'est ce qui rend le registre immuable.
Des explorateurs de blockchain comme Etherscan ou Blockchain.com rendent ce registre consultable publiquement. Aucun compte requis, aucun accès spécial. Tout l'historique des transactions de n'importe quelle adresse est visible par quiconque sait où regarder.
Les voleurs le savent, et c'est pourquoi les acteurs sophistiqués déploient des efforts considérables pour tenter de brouiller leur piste après un vol. Cet effort, en lui-même, laisse un schéma, et les schémas sont ce que lisent les enquêteurs.
Pseudonyme, pas anonyme
Une adresse de blockchain n'affiche pas de nom. C'est là toute l'étendue de la confidentialité. L'adresse elle-même possède un historique public complet : chaque transaction à laquelle elle a été mêlée, chaque portefeuille avec lequel elle a interagi, chaque dépôt sur une plateforme d'échange qui lui est lié.
En 2013, la chercheuse Sarah Meiklejohn, de l'université de Californie à San Diego, a acheté des biens, effectué délibérément des transactions sur le darknet, et retracé chacune d'elles à travers la blockchain Bitcoin. L'idée que la crypto offrait un véritable anonymat s'est effondrée sous une analyse académique élémentaire. Les outils dont disposent aujourd'hui les enquêteurs sont d'un ordre de grandeur plus puissants que ceux qu'a utilisés Meiklejohn.
Un schéma que nous voyons constamment : des attaquants qui croient avoir effacé avec succès leurs traces en déplaçant des fonds à travers plusieurs portefeuilles ont malgré tout laissé un graphe lisible. Chaque saut est enregistré, chaque adresse intermédiaire a un historique. Relier ces adresses à une identité réelle nécessite les données KYC d'une plateforme, une analyse comportementale et, dans certains cas, une procédure légale — mais la piste elle-même est toujours là.
Comment les enquêteurs retracent réellement les fonds
Regroupement d'adresses (clustering)
Lorsque plusieurs adresses sont utilisées comme entrées dans une seule transaction Bitcoin, elles appartiennent presque certainement au même propriétaire. Signer chaque entrée nécessite la clé privée correspondante, de sorte que la co-dépense implique un contrôle commun. C'est l'heuristique de la co-dépense, et elle permet aux analystes de regrouper de grands nombres d'adresses en un seul profil d'entité.
Une technique connexe est l'analyse des adresses de change. Les transactions Bitcoin renvoient généralement de petits montants à l'expéditeur vers une nouvelle adresse. Ces adresses de change ont une empreinte comportementale reconnaissable et sont automatiquement rattachées au même cluster.
Analyse du graphe de transactions
Une fois les adresses regroupées, les enquêteurs cartographient les flux de fonds sous forme de graphe : les nœuds sont des adresses, les arêtes sont des transactions. Les fonds volés sont suivis à travers ce graphe en temps réel, même lorsque les voleurs acheminent les actifs à travers des dizaines de portefeuilles intermédiaires.
Le piratage de Bybit de février 2025 en est l'exemple récent le plus clair. 1,5 milliard de dollars ont été volés en une seule opération par le Lazarus Group. Les analystes ont ensuite cartographié un cycle de blanchiment de 45 jours déplaçant les fonds à travers des protocoles de pont, des bureaux OTC sinophones et des services de mixage. Ce cycle est désormais assez bien documenté pour que les enquêteurs puissent anticiper le mouvement suivant et se coordonner avec les plateformes avant l'arrivée des fonds.
Points de contact KYC et coopération des plateformes
La plupart des fonds volés finissent par atteindre une plateforme d'échange centralisée, et les plateformes exigent une vérification d'identité. Lorsque des fonds retracés arrivent sur une adresse de dépôt d'une plateforme, les enquêteurs soumettent un avis d'urgence à l'équipe de conformité. Le compte est signalé, le retrait est bloqué dans l'attente de la procédure légale.
À partir de 2026, les plateformes d'échange américaines sont tenues de déclarer les données de transactions à l'IRS via le formulaire 1099-DA, réduisant encore l'écart entre le pseudonymat on-chain et l'identité du monde réel.
Étiquetage d'adresses
Les firmes d'analytique et les enquêteurs maintiennent des bases de données d'adresses étiquetées : des portefeuilles marqués comme plateformes d'échange, marchés du darknet, entités sanctionnées, opérations de fraude connues. Lorsqu'une transaction touche une adresse étiquetée, le profil de risque se propage à travers le graphe connecté.
Chez Match Systems, nous exploitons notre propre base de données d'étiquetage propriétaire couvrant les principales blockchains, utilisée aussi bien dans le filtrage de conformité AML en temps réel que dans les enquêtes actives sur les vols. La qualité d'une base de données d'étiquetage influe directement sur la rapidité avec laquelle les enquêteurs peuvent identifier où se dirigent les fonds volés.
Les chiffres derrière la traçabilité
|
Indicateur |
Chiffre |
|
Pertes par fraude crypto aux États-Unis signalées à l'IC3 du FBI (2025) |
Plus de 11 milliards de dollars |
|
Hausse des pertes par fraude crypto aux États-Unis d'une année sur l'autre (2024 à 2025) |
22 % |
|
Part de la fraude à l'investissement dans l'ensemble des pertes liées aux arnaques crypto (2025) |
~49 % |
|
Piratage de Bybit, fév. 2025 — le plus grand vol de crypto de l'histoire en une seule opération |
1,5 milliard de dollars |
|
Opération SIMCARTEL d'Europol : faux comptes utilisés pour contourner le 2FA crypto |
Plus de 49 millions |
|
Saisies et confiscations de crypto par le DOJ des États-Unis (2024) |
2,6 milliards de dollars |
Ce que les mixeurs et les cryptomonnaies de confidentialité peuvent (et ne peuvent pas) faire
Les services de mixage sont l'outil d'obscurcissement le plus courant que nous rencontrons. Le principe est simple : mettre en commun les fonds de plusieurs utilisateurs, les redistribuer vers de nouvelles adresses, et rompre le lien direct entre l'expéditeur et le destinataire. Les transactions CoinJoin sur Bitcoin fonctionnent sur le même principe.
En pratique, les mixeurs ajoutent de la complexité, pas de l'invisibilité. Les enquêteurs suivent les fonds entrant et sortant des services de mixage en analysant le volume, le timing et le comportement des adresses de l'autre côté. Un montant important entrant dans un mixeur et un montant similaire en sortant peu après vers une adresse neuve est un schéma reconnaissable, pas une rupture nette.
Le paysage réglementaire a également changé de façon significative. Tornado Cash a été sanctionné par l'OFAC en 2022. Chipmixer a été saisi par Europol en 2023. Utiliser un mixeur après un vol documenté signale immédiatement chaque adresse de réception dans les principales plateformes d'analytique.
Les cryptomonnaies de confidentialité comme Monero utilisent des signatures de cercle et des adresses furtives pour rendre l'analyse on-chain plus difficile. Elles présentent un véritable défi technique. Les retraits de cotation sur les plateformes réduisent progressivement leur liquidité, et la pression réglementaire sur l'infrastructure des cryptomonnaies de confidentialité s'accroît dans plusieurs juridictions.
Stablecoins : l'ironie de l'actif criminel préféré
En 2025, les stablecoins ont représenté une part dominante du volume de transactions crypto illicites selon les rapports du FBI. Les criminels les privilégient pour des raisons évidentes : stabilité des prix, règlement rapide et déplacement transfrontalier aisé.
Ce que beaucoup ne prennent pas en compte, c'est que les stablecoins sont émis par des entreprises disposant de la capacité technique de geler des adresses précises à la demande des forces de l'ordre. Lorsque des enquêteurs travaillant avec les autorités identifient un portefeuille détenant de l'USDT, Tether peut restreindre cette adresse, empêchant les fonds d'être déplacés. Le gel peut être levé si la situation juridique change, mais il arrête le compte à rebours d'un vol en pleine évolution.
Lors d'une opération de 2024, 47 millions de dollars en USDT liés à la fraude et à la traite d'êtres humains ont été retracés et gelés grâce à la coopération entre les forces de l'ordre, Tron, Tether et les principales plateformes d'échange. L'opération a réussi parce que les enquêteurs ont agi assez vite pour que les fonds soient encore sous forme de stablecoin lorsque la demande de gel a été traitée.
Plus les criminels dépendent des stablecoins pour leur rapidité et leur stabilité, plus les efforts d'enquête et des forces de l'ordre, correctement coordonnés, disposent de leviers pour intervenir.
Pour les victimes : que faire dans les 48 premières heures
Le temps que la plupart des victimes contactent les enquêteurs, les fonds ont déjà bougé. C'est la réalité honnête de la réponse au vol de crypto. Dans la première heure d'un vol, les actifs peuvent passer par plusieurs portefeuilles intermédiaires. Dans les 12 heures, ils peuvent avoir été transférés vers une autre chaîne par un pont, acheminés à travers un mixeur, ou se trouver sur un bureau OTC en attente de conversion.
Chaque étape rend l'affaire plus difficile. Chaque heure qui passe sans qu'un spécialiste ne soit impliqué réduit les chances d'intervention.
Les priorités immédiates :
- Consignez le hash de la transaction du vol et l'adresse du portefeuille de l'attaquant. C'est le point de départ de toute enquête.
- N'envoyez aucun fonds supplémentaire à une quelconque adresse. Les arnaques à la récupération visant les victimes de vol sont extrêmement courantes, et elles fonctionnent précisément parce que les victimes sont désespérées.
- Contactez une société spécialisée avant de déposer une plainte auprès de la police lorsque c'est possible. Les relations directes des enquêteurs avec les équipes de conformité des plateformes avancent plus vite que les canaux officiels des forces de l'ordre, qui peuvent mettre des semaines à produire des résultats.
- Préservez comme preuves l'ensemble des communications, captures d'écran et l'historique du portefeuille.
Si les fonds volés comprenaient des stablecoins, contacter immédiatement une société spécialisée est particulièrement important. Geler des adresses de stablecoins nécessite l'implication des forces de l'ordre, et Match Systems travaille directement avec les autorités pour lancer ce processus le plus rapidement possible.
FAQ
Le Bitcoin est-il vraiment traçable ?
Oui. Chaque transaction Bitcoin est enregistrée de façon permanente sur un registre public. Les adresses sont pseudonymes plutôt qu'anonymes — aucun nom n'y est attaché par défaut, mais chaque adresse traîne un historique de transactions complet. Cet historique se relie à l'identité via les données KYC des plateformes, l'analyse comportementale et, dans certains cas, une procédure légale.
Peut-on retracer des fonds après leur passage par un mixeur ?
Les mixeurs compliquent le traçage mais ne l'empêchent pas. Les enquêteurs analysent le volume, le timing et le comportement des adresses de l'autre côté d'un service de mixage. La piste est plus difficile à suivre, pas invisible. La plupart des grands mixeurs ont par ailleurs été fermés ou sanctionnés, ce qui limite leur utilité pour le blanchiment à grande échelle.
Combien de temps faut-il pour retracer des cryptos volées ?
Cela dépend de la complexité de l'affaire : le nombre de chaînes impliquées, si les fonds ont atteint une plateforme coopérative, et la rapidité avec laquelle l'enquête a été ouverte. Le temps de réaction de la victime est la variable la plus importante pour déterminer si une intervention est possible avant le retrait des fonds.
Qu'est-ce que l'étiquetage d'adresses et pourquoi est-ce important ?
L'étiquetage d'adresses est la pratique consistant à marquer les portefeuilles de blockchain avec leur identité connue ou leur catégorie de risque : plateforme d'échange, escroc, marché du darknet, entité sanctionnée. Les bases de données étiquetées permettent aux enquêteurs et aux équipes de conformité de reconnaître instantanément quand des fonds touchent un acteur malveillant connu et de comprendre où l'argent est susceptible de se diriger ensuite. La profondeur d'une base de données d'étiquetage est l'un des principaux éléments qui distinguent les enquêtes efficaces des enquêtes lentes.
Dans les enquêtes sur les vols de crypto, le temps compte plus que la plupart des victimes ne le réalisent.
Une fois que les fonds sont transférés via un pont, mixés ou retirés par des canaux OTC, la récupération devient nettement plus difficile. Match Systems travaille avec les plateformes d'échange, les émetteurs de stablecoins et les forces de l'ordre pour retracer les actifs volés et soutenir la récupération légale — avec une base de données propriétaire d'étiquetage d'adresses et des relations de conformité directes bâties au fil d'années d'enquêtes actives.
Lancez une évaluation de votre cas : https://matchsystems.com
Populaires
- Articles Un utilisateur légitime peut voir son USDT gelé à cause de fonds au passé contaminé.
- Articles Peut-on récupérer les cryptomonnaies volées ?
- Actualités Arnaque au faux lien de réunion : comment la crypto est volée
- Actualités Sanctions contre HTX : risques pour les actifs crypto
- Articles Comment les hackers volent des cryptomonnaies
- Actualités Tether a dégelé 79 M$ — et nous savons pourquoi
- Articles Crypto volée ? Les 60 premières minutes décident de ce qui est récupérable.
- Actualités Récupération de cryptoactifs via les réseaux OTC
- Articles Tether a gelé vos USDT : que se passe-t-il et que faire
- Articles Les portefeuilles crypto sont piratés via les appareils, les applis et l’erreur humaine, pas via la blockchain.
