Peut-on retrouver l'adresse IP de la transaction ? Peut-on retracer une personne via les enregistrements de transactions Bitcoin ? Peut-on suivre l'argent du blanchiment d'argent en Bitcoin ? La police peut-elle retrouver les comptes Bitcoin ?
Question : La police peut-elle savoir qui a transféré des Bitcoins ? Peut-elle retrouver l'adresse IP de la transaction ? Peut-on retracer une personne via les enregistrements de transactions Bitcoin ? Peut-on suivre l'argent du blanchiment d'argent en Bitcoin ? La police peut-elle retrouver les comptes Bitcoin ?
Réponse : Il est possible de vérifier la direction des transactions Bitcoin. Toutes les transactions Bitcoin sont enregistrées sur la blockchain Bitcoin, ce qui permet de suivre la liquidité du Bitcoin, c'est-à-dire d'où un portefeuille a été transféré vers un autre portefeuille. Cependant, vous ne savez que vers quel portefeuille il a été transféré, sans savoir à qui appartient ce portefeuille. Le Bitcoin est à la fois transparent et public, mais aussi anonyme. Les transactions et les flux sont publics et seront enregistrés, mais les personnes effectuant les transactions sont anonymes.
Attention particulière : dans les affaires de crimes liés aux réseaux Bitcoin, les preuves de la direction des transactions Bitcoin sont généralement centrées sur les flux de fonds et les traces numériques. Nous, avocats, devons travailler à identifier les problèmes de preuve dans les flux de fonds et les traces numériques lorsque nous défendons des affaires de crimes liés au Bitcoin.
Méthode des "cinq coupures" pour couper le suivi des flux de Bitcoin.
Les crimes liés au Bitcoin diffèrent des crimes traditionnels en ce sens qu'ils ne laissent pas de traces ou d'objets pouvant prouver l'identité de l'auteur dans l'espace criminel ou sur le lieu du crime. Dans de nombreux cas, les traces laissées par les suspects criminels sont toutes fausses. Trouver des preuves fiables pour condamner à partir de traces fausses est très difficile, car il est difficile de relier les preuves en ligne aux preuves hors ligne, ce qui rend difficile la formation d'une chaîne de preuves complète et peut entraîner des faits peu clairs et des preuves insuffisantes, ce qui empêche finalement d'atteindre une condamnation. C'est ce que j'appelle souvent : il n'y a pas de vérité dans ce monde, il n'y a que des constructions et des interprétations des faits basées sur des preuves.
Lors de la gestion de tels cas, nous devons d'abord nous familiariser avec le système de preuves de ces affaires, en regroupant et classant les preuves pertinentes. Les preuves de ce type de crime comportent généralement plusieurs aspects :
(1)Les déclarations du suspect criminel, les déclarations des co-auteurs, les témoignages des fournisseurs ou des clients.
(2)Informations d'enregistrement des portefeuilles Bitcoin, informations d'adresse, informations de transaction.
(3)Informations d'utilisateur associées aux adresses de portefeuille obtenues et analysées par le biais de l'informatique, des téléphones et de la collecte de preuves dans le cloud, par exemple, noms d'emails, comptes Weibo, adresses IP de connexion QQ, etc.
(4)Enregistrements de circulation des plateformes de transaction ainsi que des explications de situation.
(5)Enregistrements de dépôt et de retrait des jeux en ligne.
(6)Enregistrements de transactions bancaires.
(7)Enregistrements de discussions sur WeChat, QQ, ainsi que sur des logiciels de chat étrangers tels que Bat et Paper Plane.
(8)Données électroniques récupérées à partir d'ordinateurs, de téléphones, de disques durs externes saisis, ainsi que des rapports d'analyse et d'expertise ; adresses Bitcoin, clés et analyse des adresses virtuelles des personnes effectuant des transactions utilisant les enregistrements de transactions du suspect criminel.
(9)Données électroniques ciblées concernant les plateformes de transaction tierces, les clients, les appareils mobiles concernés et les comportements de paiement impliqués dans le flux de fonds.
Étant donné que ce type de crime se déroule principalement dans l'espace virtuel en ligne, la collecte des preuves repose principalement sur des preuves électroniques, qui présentent certaines caractéristiques communes avec d'autres crimes en ligne, à savoir leur facilité de destruction et de modification. De plus, en raison de la nature virtuelle de ces crimes, il est très difficile de laisser des traces suffisantes. De plus, les personnes impliquées dans le secteur noir possèdent généralement une certaine capacité de contre-enquête, par exemple en utilisant Tor ou des VPN pour initier des transactions, ou en effectuant des transactions Bitcoin en payant en espèces à l'extérieur, rendant leur maîtrise des réseaux et des ordinateurs bien supérieure à celle des personnes ordinaires. Leur capacité à détruire et supprimer les preuves électroniques est plus totale, et la plupart d'entre eux impliquent des données électroniques originales. De plus, les personnes impliquées dans le secteur noir ont généralement une attitude d'opposition après leur arrestation, refusant de dire la vérité, ce qui rend difficile la formation d'une chaîne de preuves concernant les comportements de transaction Bitcoin, les réseaux de transaction, et les flux de fonds dans de nombreuses affaires.
Je vais maintenant expliquer brièvement la manière dont nous, avocats, examinons souvent la chaîne de preuves lorsque nous défendons des accusés dans de tels crimes. Lorsque nous examinons les preuves pour préparer notre défense, nous considérons principalement les cinq aspects suivants des preuves qui peuvent créer une chaîne de preuves.
1. Peut-on rompre la chaîne de preuves qui établit un lien entre l'adresse du portefeuille et les informations d'identité du suspect criminel (accusé) ? Tout d'abord, nous, avocats, devons examiner les preuves pour déterminer si nous pouvons rompre la correspondance entre l'adresse du portefeuille de réception et l'identité du suspect criminel. Pour accuser un crime, il faut d'abord avoir des preuves prouvant que le compte Bitcoin recevant les fonds illicites appartient au suspect criminel ou est lié à lui. L'anonymat du Bitcoin rend nécessaire de prouver que le compte Bitcoin recevant les fonds illicites est celui du suspect criminel, ce qui s'avère difficile. Dans l'affaire de l'ouverture d'un casino en ligne par M. Li et d'autres, les joueurs ne pouvaient miser qu'en Bitcoin ou en Ethereum. Les joueurs devaient transférer des Bitcoins ou des Ethereum dans l'adresse du portefeuille de l'entreprise. Les autorités d'enquête ont d'abord identifié quatre adresses de portefeuille Bitcoin comme comptes recevant des fonds de jeu, en se basant sur l'adresse de réception fournie par le plaignant. Mais finalement, pour des raisons de preuve, elles n'ont pas pu déchiffrer l'anonymat du portefeuille Bitcoin et n'ont finalement reconnu qu'un seul compte Bitcoin comme étant le compte recevant des fonds de jeu.
2. Peut-on rompre la chaîne de preuves qui établit un lien entre l'adresse du portefeuille et l'adresse IP du suspect criminel ainsi que l'adresse MAC de l'appareil ? Nous devons comprendre les limites des preuves obtenues via triangulation ou détection de flux ciblé pour l'adresse IP source, et prêter attention aux vices et à la pertinence des preuves concernant les adresses IP dans le cas où l'on utilise Tor ou un VPN. De plus, dans les crimes liés aux informations en ligne, lorsque le comportement criminel est lié à une adresse IP verrouillée, cela indique seulement que : premièrement, le comportement criminel a établi une association possible avec une adresse réelle, mais cela ne signifie pas une association nécessaire. Si des circonstances telles que l'attribution aléatoire d'adresses IP existent, il ne peut pas être conclu qu'il y a une association nécessaire entre le comportement criminel et l'adresse IP verrouillée. Deuxièmement, même si l'association mentionnée ci-dessus est établie, cela ne permet pas directement d'établir un lien entre le lieu réel et l'auteur. Il est donc toujours nécessaire de déterminer la pertinence nécessaire entre le lieu réel et l'auteur afin de pouvoir finalement établir le lien entre l'auteur et le comportement criminel en ligne. Nous devons absolument savoir qu'avec seulement l'adresse du portefeuille, il est difficile de déterminer l'adresse IP de connexion, et avec seulement l'adresse IP, il est également impossible d'établir directement un lien entre le lieu réel et l'auteur. On ne peut pas simplement établir une accusation criminelle. La plupart des condamnés ont d'autres preuves corroborantes, telles que leur propre aveu, ou des données de journaux de réseau, de caches, d'informations de connexion QQ, d'informations de publication, et d'autres informations qui corroborent.
3. Peut-on interrompre la chaîne de preuves qui établit une relation ou un lien entre le processus de transaction Bitcoin et d'autres informations en ligne ou traces numériques du suspect criminel ? Le Bitcoin est simplement semi-anonyme. Ce protocole ne connaît pas le vrai nom des parties à la transaction, mais par divers moyens, il est toujours possible de relier les informations de transaction à des personnes réelles. Dans de nombreux cas, le suspect criminel n'est pas arrêté en raison d'un lien entre l'adresse du portefeuille Bitcoin et son identité réelle, mais en raison des diverses traces numériques laissées pendant le processus de transaction Bitcoin qui, après analyse des preuves, sont liées à l'identité du suspect criminel. Nous, avocats, devons porter une attention particulière à la légalité de la collecte de ces traces numériques. Par exemple, dans une affaire, M. Feng a été arrêté pour avoir vendu des Bitcoins à un groupe de fraudeurs. Après son arrestation, il était très confus car il avait utilisé un Wi-Fi public pour effectuer ses transactions Bitcoin et avait réalisé toute une série d'opérations pour renforcer son anonymat, comme le trading en utilisant un VPN, le changement fréquent d'adresses de portefeuille, et le retrait d'argent à partir de jeux en ligne. Pourquoi a-t-on tout de même pu le retrouver ? En fait, c'est une confusion à laquelle beaucoup de gens dans le secteur des cryptomonnaies sont confrontés. Dans cette affaire, même si M. Feng a utilisé le Wi-Fi public pour ses transactions, l'application Dropbox de son ordinateur portable était connectée à son serveur d'entreprise, ce qui a permis de relier son adresse IP à son compte Dropbox dans les journaux du serveur. Il faut également prêter attention à une autre situation : même si le suspect criminel ne visite aucun site personnel, les informations de cookies stockées sur son ordinateur peuvent être reliées aux cookies de son historique de navigation précédent.
4. Peut-on rompre la chaîne de preuves qui établit une correspondance ou un lien entre le flux de fonds et le suspect criminel (accusé) ?
Le flux de fonds lors de la conversion des Bitcoins est la preuve clé pour résoudre l'affaire. Dans de nombreux cas, c'est en trouvant des preuves du processus de conversion que les suspects criminels sont arrêtés. Les preuves pertinentes pour interrompre le flux de fonds sont un élément clé que nous pouvons utiliser pour demander l'abandon de l'affaire, la non-poursuite ou un acquittement.
Dans la gestion de ces affaires, nous devons faire attention. Dans de nombreux cas, le processus de conversion des Bitcoins a été équipé de moyens de contre-enquête, comme la conversion à l'étranger via des maisons de change clandestines ou des casinos, ou des transactions en espèces hors ligne, ou via des mélanges ou le dark web, rendant le flux de fonds très difficile à clarifier. L'année dernière, j'ai traité une affaire au Henan où M. Li a recherché le groupe QQ "Telecom Money Laundering" et a rejoint le groupe, où il a annoncé qu'il offrait des services de blanchiment d'argent pour des groupes de fraude en ligne. Ils ont acheté un grand nombre de cartes bancaires noires pour les fournir à des groupes de fraude, puis ont acheté des Bitcoins avec tout l'argent des cartes bancaires via Huobi, avant de vendre les Bitcoins à d'autres via des transactions en espèces hors ligne, remettant l'argent de la vente des Bitcoins, moins la commission, aux groupes de fraude. Pour échapper à l'enquête, ils ont choisi de négocier les Bitcoins en espèces hors ligne, augmentant ainsi leur anonymat, de sorte que l'identité du principal auteur de l'achat et de la vente de Bitcoins n'était connue que par son nom WeChat, et son identité n'a jamais pu être confirmée, et le montant impliqué dans l'affaire n'a pas pu être clarifié.
Dans les crimes liés au Bitcoin, en raison de l'anonymat du Bitcoin et des capacités de contre-enquête des personnes impliquées dans le secteur noir, les opérations financières utilisent souvent des cartes noires, des maisons de change clandestines, des sites de jeux d'argent ou des mélanges, des darknets. Il est difficile de créer une chaîne de preuves pointant chaque transaction vers un suspect criminel. Dans une affaire de fraude en ligne que j'ai traitée en 2017, ils ont acheté tous les dépôts des clients en Bitcoin sur un site étranger. Les forces de l'ordre ont évalué le montant impliqué à plus de 20 millions, mais lors de notre défense, nous avons découvert qu'une grande partie des fonds dans ces 20 millions ne pouvait pas former une chaîne de preuves de circulation de fonds. Finalement, le parquet a modifié le montant impliqué à plus de 7 millions. Dans les affaires de crimes en ligne que j'ai traitées, la réduction du montant la plus importante était une affaire en Zhejiang, où le montant de la fraude est passé de 190 millions au début à 120 millions, réduisant de près de 70 millions.
Lorsqu'il s'agit de crimes liés aux réseaux, nous, avocats, devons porter une attention particulière à l'examen :
(1)Les cartes bancaires recevant les fonds illicites appartiennent-elles ou sont-elles détenues par le suspect criminel ? Il faut porter une attention particulière aux problèmes des cartes noires dans le processus de circulation des fonds illicites, vérifier si ces cartes noires sont détenues par le suspect criminel, et examiner les preuves pour voir s'il existe des preuves de saisie de cartes noires ; il faut également prêter attention aux preuves du côté des personnes retirant de l'argent, s'il existe des preuves montrant un lien entre le retraitant et le suspect criminel.
(2)Les comptes de paiement en ligne tels que Alipay, les comptes bancaires en ligne ou d'autres comptes de paiement en ligne utilisés pour manipuler les fonds illicites appartiennent-ils ou sont-ils gérés par le suspect criminel ? Dans de nombreuses affaires, les fonds illicites circulent à travers plusieurs comptes de paiement en ligne, tels que Alipay, et nous, avocats, lorsque nous traitons des affaires, devons porter une attention particulière à l'existence de preuves prouvant que ces comptes appartiennent ou sont gérés par le suspect criminel. Dans l'affaire de M. Wang, les fonds illicites ont été transférés sur cinq comptes Alipay, qui ont ensuite tous été transférés sur une plateforme de jeux d'argent en ligne, sans aucune preuve prouvant que ces cinq comptes Alipay étaient gérés par M. Wang. Pourquoi la police a-t-elle alors arrêté M. Wang ? La raison est que l'équipe d'enquête a analysé les adresses IP de connexion de ces cinq comptes Alipay et a trouvé que le numéro QQ et l'email de M. Wang, ainsi que l'adresse IP de son compte Alipay, correspondaient à plusieurs reprises à ces cinq comptes à différents moments, prouvant ainsi que le titulaire des cinq comptes Alipay impliqués dans l'affaire était M. Wang. Il est important pour nous, avocats, de faire attention à ce problème de correspondance des adresses IP. Dans de nombreuses affaires, ce problème se pose. Nous, avocats, devons garder à l'esprit que la seule correspondance des adresses IP de plusieurs comptes de paiement pour établir qu'une personne est un suspect criminel est une présomption. Dans le cas d'une location de serveur privé virtuel (VPS) et d'un réseau privé virtuel (VPN), de nombreux ordinateurs sur le même réseau public peuvent avoir la même adresse IP. S'il n'y a pas d'autres preuves pour corroborer cela, il est possible de rompre la chaîne de preuves de flux de fonds.
5. Peut-on interrompre la chaîne de preuves de la "relation homme-affaire" ? C'est-à-dire interrompre les preuves reliant le suspect criminel aux co-auteurs de l'affaire.
Les crimes liés au Bitcoin présentent les caractéristiques d'une chaîne industrielle noire, les suspects criminels ne se connaissent généralement pas, ils peuvent simplement être des internautes, ignorant même les vrais noms les uns des autres. Dans les crimes en ligne, la forme de contact entre les acteurs est diversifiée, les entités de contact sont virtualisées, et les actions communes sont floues. Parfois, il est difficile de former une chaîne de preuves pointant vers un certain suspect criminel. Dans de nombreux cas, les forces de l'ordre n'attrapent qu'un seul maillon de la chaîne industrielle noire, cherchant des preuves pour relier d'autres maillons à partir de ces suspects arrêtés, c'est ce que j'appelle dans les crimes en ligne la direction des preuves "d'homme à homme".
Avec l'amélioration des capacités de contre-enquête des acteurs impliqués dans le secteur noir, il devient de plus en plus difficile pour les forces de l'ordre de trouver une chaîne de preuves "d'homme à homme". Dans les affaires que j'ai traitées l'année dernière à Jingzhou, Hubei, et Zhoukou, Henan, les groupes criminels utilisaient respectivement le logiciel de chat Bat et le logiciel de chat taïwanais WhatsApp. Ces logiciels de chat sont chiffrés de bout en bout, les serveurs ne conservent aucune trace, et l'on se connecte directement avec un identifiant sans lier aucune information d'identité, rendant la sécurité et la confidentialité extrêmes. Les informations peuvent être lues puis détruites instantanément, avec la possibilité de retracter ou de supprimer des messages, ce qui crée des conditions et des possibilités pour nous de couper la chaîne de preuves "d'homme à homme" à partir des preuves.
Nous, avocats, devons examiner les enregistrements de discussion, de transfert d'argent, d'appels, etc., pour vérifier s'il existe des preuves suffisantes montrant qu'il y a eu préméditation et lien entre eux, en s'efforçant de rompre la chaîne de preuves "d'homme à homme".
Nous devons faire particulièrement attention aux déclarations du suspect criminel lui-même ainsi qu'à celles des co-auteurs. Comme mentionné précédemment, dans les crimes liés au Bitcoin, en raison de l'anonymat du Bitcoin et de la difficulté de collecter des preuves électroniques, obtenir une chaîne de preuves complète pour accuser un crime est relativement difficile. Dans de nombreuses affaires, les déclarations des suspects criminels sont très importantes, et souvent, le point de rupture de nombreuses affaires provient des déclarations. Nous devons examiner la stabilité des déclarations du suspect criminel, ainsi que leur cohérence avec celles des autres co-auteurs, et les contradictions éventuelles. Lorsque les déclarations du suspect criminel présentent des répétitions ou des changements, la question de savoir comment en tenir compte et comment les contester est quelque chose que nous devons maîtriser lors de la gestion de l'affaire.
Les affaires de crimes liés au Bitcoin impliquent de nombreux problèmes techniques, ce qui rend la collecte de preuves difficile. Il est souvent très difficile de trouver des preuves suffisantes, et les preuves peuvent être difficiles à admettre. Les faits objectifs de la criminalité, en particulier l'évaluation des montants impliqués, sont difficiles à établir. La preuve de l'intention criminelle est également difficile, les liens entre les complices sont lâches et difficiles à établir, et il existe de grandes divergences dans les controverses sur la qualification criminelle. Tout cela nécessite que les avocats améliorent leur culture juridique et technique et renforcent leurs recherches. Ce n'est qu'en comprenant les caractéristiques de ce type de crime et les techniques de défense que nous pourrons obtenir un acquittement ou une peine réduite dans ces affaires.
