2025 Crypto Crime Report

Introduction

En 2024, le volume des transactions^{cryptographiques1} a atteint plus de 10,6 billions d'USD, soit une hausse de 56 % depuis 2023. Le volume illicite semble actuellement avoir chuté à 45 milliards d'USD, soit une baisse de 24 % depuis 2023. Cela représente 0,4 % du volume global de crypto-monnaies - une baisse par rapport à 0,9 % en 2023, marquant une diminution de 51 % d'une année sur l'autre. TRM détermine maintenant que le volume illicite représentait environ 0,9 % du volume total de crypto-monnaie en 2023.

Les principales catégories d'activités illicites sur la blockchain restent actuellement largement les mêmes qu'en 2023 : Sanctions (33 % du volume illicite), Liste ^bloquée2 (29 % du volume illicite) et Escroqueries et fraudes (24 % du volume illicite).

TRM s'attend à ce que les chiffres globaux du volume illicite soient revus à la hausse.

Ces chiffres globaux représentent les estimations actuelles de TRM sur le volume illicite, basées sur les derniers renseignements disponibles. Toutefois, en raison de la complexité inhérente à la détection et à l'attribution des transactions illicites - et des retards de déclaration - nous nous attendons à ce que les chiffres globaux du volume illicite augmentent avec le temps, au fur et à mesure que de nouvelles données apparaîtront.

Au moment de la publication de ce rapport annuel, début 2024, les estimations de TRM pour le volume illicite étaient de 34,8 milliards d'USD pour 2023. TRM estime désormais ce chiffre à 58,7 milliards d'USD, ce qui représente une révision à la hausse de 69 %. Il est important de noter que même le chiffre révisé peut ne pas être définitif, car l'attribution est susceptible d'augmenter au cours des prochaines années. Comme l'attribution s'étend dans le temps, le volume illicite pour 2022 a été révisé à la hausse, passant de 49,6 milliards d'USD rapportés l'année dernière à 56,6 milliards d'USD sur la base de notre estimation actuelle - deux ans après la fin de l'année 2022.

Étant donné la forte probabilité de futures révisions à la hausse des volumes illicites globaux, les lecteurs doivent considérer les chiffres de ce rapport comme une base de référence dynamique. L'estimation finale du volume illicite pour 2024 sera très probablement bien supérieure aux 44,7 milliards d'USD indiqués ici, et pourrait même être supérieure à 75 milliards d'USD si nous poursuivons notre révision à la hausse pour le chiffre de 2023 jusqu'à présent. Nous pensons que les tendances et les évaluations des tactiques, techniques et procédures (TTP) des acteurs de la menace, spécifiques à chaque catégorie, resteront plus cohérentes et fourniront des informations fiables sur l'évolution des schémas de risque.

‍

Méthodologie

Notre estimation du volume total de crypto-monnaies illicites est basée sur la valeur en USD des fonds volés lors de ^piratages de crypto-monnaies3, combinée à la valeur en USD des transferts vers des adresses de blockchain sur Bitcoin, Ethereum, TRON, Binance Smart Chain et Polygon que nous avons reliées à des entités dans des catégories illicites telles que les systèmes de fraude, les sanctions et les places de marché du darknet. Nous considérons notre estimation comme un minimum, ou un "plancher", pour le volume de crypto-monnaie illicite, et nous nous attendons à ce que les chiffres augmentent au fil du temps avec l'attribution et la déclaration retardées.

Les éléments suivants sont exclus de notre estimation du volume de crypto-monnaies illicites :

{{2025-crypto-crime-report-methodology-dropdown-1}}

{{2025-crypto-crime-report-methodology-dropdown-2}}

{{2025-crypto-crime-report-methodology-dropdown-3}}

‍

¹ Volume sur Bitcoin, Ethereum, TRON, Binance Smart Chain, et Polygon.

² Les adresses figurant sur la liste de blocage sont des adresses qui apparaissent sur les listes de blocage publiques des émetteurs de stablecoins, sur les avis et alertes d'organismes d'application de la loi dignes de confiance, ainsi que sur des VASP bien établis ou des organisations communautaires qui ont pour but d'informer d'autres entités sur le risque associé aux adresses publiées. Ces adresses peuvent contenir des fonds associés à toute une série d'activités illicites. Certaines adresses, telles que les contrats de stablecoins, sont également placées sur liste de blocage afin d'empêcher les utilisateurs d'y envoyer des fonds ou d'être appelés.

³ Valeur en USD au moment du piratage.

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">ILLICIT VOLUME</span>

Le TRON a connu la plus forte baisse du volume illicite en 2024

En 2024, le plus grand pourcentage d'activités cryptographiques illicites a eu lieu sur la blockchain TRON (58 % du volume illicite), suivie par Ethereum (24 % du volume illicite), Bitcoin (12 % du volume illicite), Binance Smart Chain (3 % du volume illicite), et Polygon (3 % du volume illicite), reflétant la préférence continue pour les blockchains qui ont des frais de transaction faibles, des contrats intelligents, et des stablecoins populaires.

Cependant, de toutes les blockchains analysées, TRON a connu la baisse la plus importante du volume illicite, diminuant de 6 milliards d'USD et réduisant de moitié sa proportion de volume illicite. Notamment, 49 % du volume illicite de TRON était lié à des entités sanctionnées, tandis que 32 % concernait des fonds bloqués - des actifs qui ont été effectivement neutralisés et ne sont plus accessibles aux acteurs de la menace. Sur le sous-ensemble de fonds bloqués en USDT sur TRON, environ 20 % ont été réémis au profit de victimes et de comptes gouvernementaux.

Cette réduction du volume illicite reflète, en partie, l'accent mis par TRON sur l'éradication des acteurs illicites sur sa blockchain. En août 2024, TRON, Tether et TRM ont annoncé la création de la T3 Financial Crime Unit (T3 FCU), une initiative inédite visant à faciliter la collaboration public-privé pour lutter contre les activités illicites associées à l'utilisation des USDT sur la blockchain de TRON. 

Dans les mois qui ont suivi son lancement, l'initiative, en collaboration avec les services répressifs, a facilité le gel de plus de 130 millions d'USD de produits illicites. 

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">SANCTIONED ENTITIES</span>

Les entités sanctionnées ont continué à alimenter le volume de crypto-monnaies illicites 

Les entités sanctionnées ont été à l'origine de la plus grande part du volume de crypto-monnaies illicites en 2024, bien que les entrées aient diminué de 33 %, passant de 21,9 milliards d'USD en 2023 à 14,8 milliards d'USD. 

Garantex, la plus grande bourse de crypto-monnaies de Russie, et Nobitex, la plus grande bourse de crypto-monnaies d'Iran, ont représenté plus de 85 % des flux entrants vers les entités et juridictions sanctionnées, bien que leurs volumes globaux aient également diminué. Cela est probablement dû à un certain nombre de facteurs, y compris l'utilisation potentielle de services alternatifs et l'incertitude du soutien du régime à l'utilisation des crypto-monnaies dans les juridictions lourdement sanctionnées. À la fin de l'année 2024, des rapports en provenance d'Iran ont indiqué que le régime iranien se préparait à réglementer l'économie des crypto-monnaies pour une plus grande transparence, ainsi que des rapports de la Banque centrale d'Iran fermant l'accès aux portails des échanges de crypto-monnaies.

Tirer parti des sanctions pour perturber l'économie illicite russe, le Hamas et le Hezbollah

Un aspect remarquable du paysage des sanctions 2024 a été le ciblage par les États-Unis et les partenaires mondiaux d'entités et d'individus clés soutenant l'évasion des sanctions et le blanchiment d'argent par le biais de monnaies virtuelles dans le cadre de l'économie illicite de la Russie. L'OFAC a émis 13 désignations de sanctions qui comprenaient 86 adresses de crypto-monnaies - dont beaucoup ciblaient la Russie et les individus et entités cybernétiques, y compris les membres du groupe Trickbot Rançonlogiciel , les réseaux de blanchiment d'argent et les échanges de crypto-monnaies facilitant les activités illicites. 

Les bourses centralisées et peer-to-peer NetEx24, Bitpapa et Cryptex ont été ciblées pour avoir facilité des transactions d'une valeur de plusieurs millions pour des acteurs illicites et sanctionnés. Les flux entrants vers ces trois bourses ont chuté en moyenne de 82 % au cours des trois mois qui ont suivi la désignation, par rapport aux volumes enregistrés avant la désignation. Des personnes comme Elena Chirkinyan et Khadzi-Murat Dalgatovich Magomedov ont également été désignées à la suite d'une vaste enquête mondiale menée par la National Crime Agency (NCA) du Royaume-Uni dans le cadre de l'opération Destabilise, pour leur rôle dans des opérations de blanchiment d'argent et d'évasion des sanctions par divers moyens, notamment les crypto-monnaies.

Outre les désignations liées à la Russie et à la cybernétique, un certain nombre d'entités et d'individus liés au Hamas et au Hezbollah ont été désignés comme ayant un lien avec la cryptographie à la suite de l'attentat du 7 octobre 2023. Ces désignations concernaient GazaNow (une entité basée à Gaza) et son fondateur Mustafa Ayash pour avoir collecté des fonds pour le Hamas après l'attaque du 7 octobre, ainsi que Tawfiq Muhammad Sa'id al-Law (un opérateur hawala syrien basé au Liban) pour avoir fourni au Hezbollah des portefeuilles numériques afin de recevoir des fonds provenant des ventes de marchandises du CGRI-FQ et pour avoir effectué des transferts de crypto-monnaie pour le compte d'entités syriennes sanctionnées.

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">TERRORIST FINANCING</span>

L'utilisation des crypto-monnaies dans le financement du terrorisme est élargie

S'il est très probable que l'argent liquide, les institutions financières traditionnelles, les sociétés de transfert de fonds et les hawalas constituent toujours la majorité du financement du terrorisme, l'utilisation croissante des crypto-monnaies par les groupes terroristes est clairement démontrée. Le rôle croissant des crypto-monnaies pour l'affilié d'ISIS en Afghanistan, la province de l'État islamique du Khurasan (ISKP), l'une des menaces terroristes transnationales les plus importantes à l'heure actuelle, est particulièrement préoccupant.

L'ISIS a continué d'accroître son utilisation des crypto-monnaies

Au cours de l'année écoulée, l'ISKP a été associé à de nombreux attentats, complots déjoués et arrestations dans des pays tels que la Russie, la Turquie, l'Iran, l'Allemagne, la France, l'Autriche, l'Italie et les États-Unis. Dans plusieurs cas, les crypto-monnaies ont joué un rôle central. 

• En mars 2024, l'ISKP a perpétré un attentat meurtrier à Moscou, financé en partie par des crypto-monnaies. 
• En juin 2024, un Allemand, qui a envoyé 1 700 USD de crypto-monnaie à l'ISKP, a été arrêté après avoir postulé pour travailler comme agent de sécurité lors d'un grand tournoi de football européen - le type d'événement que l'ISKP a à plusieurs reprises exhorté ses partisans à cibler. 
• Le même mois, les autorités turques ont annoncé qu'elles avaient arrêté des financiers d'ISIS opérant dans le pays et saisi des portefeuilles de crypto-monnaies.
• En décembre 2024, un individu basé au Royaume-Uni a été condamné à une peine de prison pour avoir envoyé plus de 16 000 GBP de crypto-monnaie à ISKP.

Au cours de l'année écoulée, TRM a identifié des centaines de transactions liées à l'ISKP, allant de 100 à 15 000 USD. Ces transactions ont transité par des bourses réglementées, des bourses à haut risque et des négociants individuels en crypto-monnaies, dont certains pourraient sciemment faciliter les activités de l'ISKP. 

TRM a également identifié des liens sur la chaîne entre les adresses affiliées à l'ISKP et les campagnes de collecte de fonds en Syrie pour les membres de l'ISIS et les familles détenues dans les camps, qui restent un moteur important de l'utilisation de la crypto-monnaie par les partisans de l'ISIS dans le monde entier. TRM travaille avec diligence pour identifier les adresses utilisées par les différentes campagnes de financement du terrorisme afin que les forces de l'ordre puissent tracer et perturber les campagnes et leurs acteurs.

Le Hamas, GazaNow et les Brigades des Moudjahidines ont reçu des milliers de dollars en dons de crypto-monnaies.

À Gaza, où le conflit entre Israël et le Hamas est entré dans sa deuxième année, les dons en crypto-monnaies ont continué d'affluer vers des adresses associées au Hamas, à GazaNow et aux Brigades des Moudjahidines.

Alors que le Hamas avait annoncé au printemps 2023 qu'il avait cessé d'accepter les dons en crypto-monnaie - en grande partie en raison du succès d'Israël et des États-Unis dans le ciblage de leur infrastructure de crypto-monnaie - les données de TRM ont indiqué que le groupe recevait encore des dizaines de milliers de dollars de dons en crypto-monnaie, bien que de manière plus discrète. 

En outre, l'entité liée au Hamas, GazaNow, a continué à solliciter des dons en crypto-monnaies, bien qu'elle soit ciblée par Israël et sanctionnée par l'OFAC et d'autres agences dans le monde. GazaNow a collecté des dizaines de milliers de dollars depuis l'attaque du 7 octobre 2023 par le Hamas. 

Parmi les autres campagnes de collecte de fonds qui ont permis de récolter des dizaines de milliers de dollars, citons celle destinée aux Brigades des Moudjahidines, l'aile militaire du Mouvement des Moudjahidines palestiniens, qui a été sanctionnée par les États-Unis en novembre 2018. 

Les monnaies stables sont restées le premier choix des organisations de financement du terrorisme. 

Les changements liés à la dépendance des organisations de financement du terrorisme à l'égard des stablecoins, identifiés par TRM à partir de 2022, ont persisté en 2024. L'analyse de TRM indique que, malgré l'intérêt croissant pour Monero, les stablecoins restent le choix principal des organisations de financement du terrorisme. 

Alors que l'ISKP, par exemple, fait la promotion de Monero dans le magazine produit par son unité média, TRM évalue que l'ISKP utilise principalement des stablecoins pour déplacer et stocker des fonds. En outre, les campagnes de collecte de fonds suivies par TRM préfèrent toujours massivement les stablecoins, bien qu'il reste à voir si la hausse des prix du bitcoin et d'autres crypto-monnaies aura un impact à long terme sur leurs choix.   

En ce qui concerne Monero, à l'automne 2023, la branche médiatique officielle de l'ISKP a lancé sa première campagne de dons avec Monero comme monnaie choisie. Annoncé pour la première fois dans le magazine "Voice of Khurasan", produit par l'unité médiatique de l'ISKP, al-Azaim, les appels aux dons utilisant Monero sont depuis devenus monnaie courante. TRM a identifié des campagnes de collecte de fonds liées à d'autres affiliés d'ISIS, notamment en Inde et aux Philippines, qui ont également sollicité des dons en Monero. Bien que ces développements soient préoccupants, l'adoption généralisée de Monero reste peu probable à court terme étant donné les défis techniques et les restrictions associées à son utilisation, y compris le retrait de la liste des pièces de monnaie privées par les principales bourses. 

Les acteurs de la menace ont affiché une sécurité opérationnelle accrue 

Les terroristes et leurs partisans ont commencé à faire preuve d'une sophistication croissante dans leur utilisation des crypto-monnaies, les nombreuses arrestations d'individus en 2024 étant probablement à l'origine de l'amélioration des TTP. Il s'agit notamment de :

• L'utilisation croissante de portefeuilles non hébergés et de mélangeurs. Les terroristes et leurs partisans échangent en ligne des conseils sur les meilleures pratiques et les services ou sites web qui offrent la meilleure protection.  
• Utilisation de fausses références pour contourner les contrôles de connaissance du client (KYC) imposés par les bourses.
• Intérêt croissant pour les monnaies de protection de la vie privée telles que Monero.

L'utilisation des crypto-monnaies par les terroristes devenant de plus en plus sophistiquée, une surveillance continue, des renseignements sur les menaces et des capacités techniques avancées seront nécessaires pour identifier leurs activités sur la blockchain.  

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">RANSOMWARE</span>

La demande de Rançonlogiciel a atteint un niveau record

Le Rançonlogiciel est resté une menace prolifique et croissante en 2024, avec 5 635^attaques signalées publiquement4 - dépassant les 5 223 de 2023. Les exigences financières des acteurs du Rançonlogiciel ont également atteint des niveaux sans précédent, comme en témoigne le paiement record de 75 millions de dollars au groupe Dark Angels Rançonlogiciel en mars 2024. Cette escalade des demandes de rançon met en évidence l'audace et la sophistication croissantes des acteurs de la menace, qui utilisent des outils et des techniques de pointe pour maximiser leurs efforts d'extorsion.

Le paysage du Rançonlogiciel et de la crypto criminalité est très fluide, où les normes actuelles sont sujettes à une évolution rapide. Une tendance notable identifiée par l'équipe de renseignement sur les menaces de TRM en 2024 a été le déclin de l'utilisation des mélangeurs de crypto-monnaies pour le blanchiment des produits du Rançonlogiciel . Au lieu de cela, les acteurs de la menace exploitent de plus en plus les ponts entre les chaînes pour obscurcir les transactions et permettre des conversions transparentes de crypto-monnaies avant l'encaissement. Bien que le bitcoin reste la principale monnaie de paiement du Rançonlogiciel , une part importante de ces fonds est convertie en aval en d'autres crypto-monnaies. L'utilisation de passerelles offre un moyen plus rapide et plus efficace de convertir des fonds illicites, tout en créant une illusion de plus grand anonymat pour les cybercriminels.

De nouveaux groupes de Rançonlogiciel sont entrés dans le secteur, tandis que d'autres groupes existants ont changé de nom.

2024 a vu l'émergence de plusieurs nouveaux groupes de Rançonlogiciel , dont Brain Cipher, dAn0n, DragonForce, Fog, Funksec, RansomHub, Sarcoma et Trinity. Ces groupes ont rapidement gagné en notoriété grâce à leurs tactiques sophistiquées et à leurs attaques réussies dans divers secteurs d'activité. Par exemple, Trinity a été associé au ciblage d'infrastructures critiques telles que des organismes de santé et des organisations gouvernementales, dont deux fournisseurs de soins de santé basés au Royaume-Uni et aux États-Unis.

Outre les nouveaux venus, plusieurs groupes importants de Rançonlogiciel ont changé de nom ou d'activité afin d'échapper à la surveillance des forces de l'ordre. Parmi les exemples notables, on peut citer la résurgence de groupes tels que Lynx (alias INC), DennistheHitman (alias GlobeImposter) et Qilin (alias Agenda), qui ont adopté des méthodes d'extorsion novatrices pour améliorer leur efficacité. 

Le modèle Rançonlogiciel(RaaS) continue de dominer l'écosystème, permettant à des acteurs moins qualifiés de mener des attaques à fort impact. Les affiliés sont devenus de plus en plus adaptables, passant souvent d'une plateforme à l'autre et d'un groupe à l'autre, comme le montre l'activité de la chaîne.

Si le paysage du Rançonlogiciel est traditionnellement fortement associé à des acteurs russophones, en particulier au niveau des administrateurs, il s'est diversifié au fil des ans. Les groupes intègrent désormais des affiliés du monde entier possédant un large éventail de compétences linguistiques. Par exemple, DragonForce Rançonlogiciel témoigne de cette évolution, avec des liens avec l'Asie du Nord ou l'Asie centrale, comme le suggèrent les enregistrements audio de ses acteurs associés sur leur site TOR.

Malgré ce changement, les groupes russophones de Rançonlogiciel restent très actifs - avec certains des acteurs les plus sophistiqués du paysage cybercriminel. Nombre de ces groupes sont liés à des attaques très médiatisées, utilisant des techniques de chiffrement avancées, des tactiques d'extorsion innovantes et des modèles RaaS pour étendre leurs opérations.

Les attaques notables en 2024 ont principalement visé les secteurs de la technologie, de la vente au détail et des services financiers.

Les sites de fuites de données ont proliféré, servant de plateformes de dénigrement public et d'extorsion. Ces sites sont de plus en plus utilisés dans le cadre de stratégies d'extorsion à plusieurs niveaux, exerçant une pression supplémentaire sur les victimes pour qu'elles paient une rançon en publiant leur nom et les coordonnées de leur entreprise.

Les attaques de Rançonlogiciel en 2024 ont continué à cibler des secteurs critiques, causant des perturbations généralisées - les trois principaux secteurs étant la technologie, l'industrie manufacturière et les services professionnels. Les tendances pour 2025 suggèrent que les groupes de Rançonlogiciel continueront à cibler les soins de santé et les infrastructures critiques, les vulnérabilités de la chaîne d'approvisionnement et les fournisseurs de services cloud afin de maximiser leur efficacité et leur impact.

Rançonlogiciel

Rançonlogiciel

Rançonlogiciel

La collaboration internationale est essentielle pour perturber les acteurs du Rançonlogiciel

En 2024, les efforts déployés au niveau mondial pour lutter contre le Rançonlogiciel ont donné lieu à des collaborations internationales majeures telles que l'opération Cronosqui a perturbé l'infrastructure de LockBit, et l'opération Endgame, qui a ciblé les réseaux de Rançonlogiciel en Europe. La Counter Rançonlogiciel Initiative (CRI) a réuni 68 pays pour renforcer les stratégies de lutte contre le Rançonlogiciel, tandis que des sanctions ont été prises à l'encontre de personnalités clés de groupes tels qu'Evil Corp. La collaboration accrue entre les entités publiques et privées a joué un rôle déterminant dans ces succès. L'échange de renseignements en temps réel et les opérations conjointes ont permis d'accroître les ressources et d'interrompre rapidement les attaques en cours, soulignant ainsi l'importance de partenariats solides dans la lutte contre le Rançonlogiciel.

‍

⁴ Cette analyse est basée sur les données du site de fuites Rançonlogiciel disponibles au 6 janvier 2025, et exclut les incidents sous-déclarés.

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">HACKS</span>

2,2 milliards de dollars ont été dérobés lors de piratages liés aux cryptomonnaies

En 2024, 2,2 milliards d'USD ont été dérobés lors de piratages et d'exploits, soit une augmentation de 17 % par rapport à 2023, ce qui porte le total sur trois ans à plus de 7,7 milliards d'USD. L'espace cryptographique continue d'être confronté à des menaces en constante évolution, les protocoles de finance décentraliséeDeFi) restant des cibles privilégiées. Le montant moyen du piratage s'élevait à 14 millions d'USD, reflétant à la fois la sophistication et l'ampleur des violations modernes. 

Les attaques d'infrastructure (principalement les compromissions de clés privées et de phrases d'amorçage) représentaient près de 70 % des fonds volés en 2024. Ces compromissions sont courantes car les clés privées et les phrases de démarrage servent d'identifiants d'accès fondamentaux pour les portefeuilles et les plateformes de crypto-monnaies. Les pirates exploitent les mauvaises pratiques de stockage, mènent des campagnes d'hameçonnage et déploient des logiciels malveillants pour accéder à ces informations d'identification sensibles. Une fois la clé privée volée, le voleur transfère généralement les fonds vers son propre portefeuille, en brouillant souvent les pistes à l'aide de mélangeurs, de gobelets ou d'autres techniques de blanchiment d'argent pour éviter d'être détecté.

La recrudescence des activités de piratage en 2024 met en évidence l'évolution du paysage des menaces dans l'espace cryptographique. Avec une augmentation de 17 % des fonds volés d'une année sur l'autre et le rôle prépondérant de la Corée du Nord dans ces attaques, le secteur est confronté à une pression croissante pour mettre en œuvre des mesures de sécurité plus strictes. L'ampleur des opérations nord-coréennes, combinée à leur recours au vol de clés privées et de phrases d'amorçage, souligne la nécessité d'innover pour sécuriser les actifs numériques et atténuer les cybermenaces parrainées par l'État.

La Corée du Nord a volé près de 800 millions de dollars de crypto-monnaies

La Corée du Nord représentait environ 35 % de tous les fonds volés en 2024, approchant près de 800 millions de dollars en crypto-monnaie volée (y compris seulement les attaques pour lesquelles TRM a un niveau de confiance modéré ou plus élevé). En moyenne, les attaques nord-coréennes étaient près de 5 fois plus importantes que celles des autres acteurs, ce qui souligne l'importance qu'ils accordent aux opérations à fort impact. Leur principale méthode - le vol de clés privées et de phrases d'amorçage - met en évidence le besoin urgent de solutions robustes de gestion des clés. 

La pression exercée par les autorités américaines et internationales sur le secteur des mixeur a conduit à la fermeture de services clés tels que Samourai Wallet et le coordinateur initial de Wasabi. À leur place, la Corée du Nord s'est tournée vers des services plus petits comme JoinMarket, Mixero et les nouveaux coordinateurs indépendants du protocole Wasabi. 

Les forces de l'ordre continuent de se heurter à des obstacles considérables pour bloquer et récupérer les fonds volés. La Corée du Nord et les groupes de blanchiment avec lesquels elle travaille ont augmenté et diversifié le nombre de ponts et de blockchains qu'ils utilisent pour déplacer des crypto-actifs. Nombre de ces services sont véritablement décentralisés et incapables de geler les fonds volés lorsqu'ils transitent par leurs protocoles. Le déplacement d'un grand nombre de ces fonds depuis les adresses de vol jusqu'à leur disposition finale auprès de courtiers probables, principalement sur la blockchain TRON, se produit souvent en l'espace de quelques heures. La vitesse et l'efficacité de ces transferts rendent le gel des fonds par les forces de l'ordre extrêmement difficile ; l'analyse des vols récents effectuée par TRM suggère que les pertes frictionnelles dues au gel des fonds ou à d'autres interdictions par les autorités restent faibles.

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">SCAMS AND FRAUD</span>

les volumes d'escroquerie et de fraude ont diminué, mais restent une menace importante dans la cryptosphère

En 2024, les fonds envoyés à la fraude s'élevaient à au moins 10,7 milliards USD, soit une baisse de 40 % par rapport à 2023. Cette baisse s'est poursuivie depuis 2022, année au cours de laquelle les fonds envoyés dans des systèmes de Ponzi et des systèmes de toilettage financier (communément appelés "escroqueriespig butchering") ont atteint un niveau record d'environ 16,8 milliards d'USD. 

Comme pour tous les types de crimes liés aux crypto-monnaies abordés dans ce rapport, la couverture de la fraude par TRM en 2024 augmentera au fil du temps, à mesure que de nouveaux cas seront découverts. Les chiffres de la fraude semblent être beaucoup plus affectés que les autres crimes, probablement en raison de la déclaration tardive de la fraude par les victimes. En conséquence, TRM estime que les volumes de fraude ont probablement encore diminué en 2024, mais pas aussi fortement que les données actuelles le montrent.

Moins de systèmes de Ponzi et de systèmes pyramidaux ont reçu plus de 100 millions d'USD

Environ 45 % de la baisse du volume de la fraude en 2024 semble résulter d'une diminution des flux vers les systèmes de Ponzi et pyramidaux apparents. Ces systèmes ont reçu un total de 4,3 milliards USD de fonds de la part des victimes, soit une baisse de 37 % par rapport aux flux de 2023. Bien que cette typologie de fraude reste populaire et que des centaines soient encore créées chaque mois (ciblant des victimes dans diverses régions telles que les États-Unis, l'Argentine, la Corée du Sud, le Royaume-Uni, l'Italie, Chypre et les Philippines), TRM n'a pas vu autant de grands schémas recevant plus de 100 millions USD que les années précédentes (six en 2024 contre 14 en 2023), où les volumes étaient disproportionnellement alimentés par une poignée de schémas massifs.

Les systèmes de Ponzi et les systèmes pyramidaux s'appuient sur le bouche-à-oreille, le marketing et les réseaux sociaux pour devenir populaires et générer des pertes importantes. Ils peuvent atteindre un niveau de viralité similaire à d'autres types d'activités dans les médias sociaux par le biais de méthodes en ligne et hors ligne, ce qui peut donner un coup de fouet à un système, le faisant passer d'un système recevant 5 millions de dollars d'entrées à un système recevant des centaines de millions de dollars.

Cela ne semble pas s'être produit aussi souvent en 2024 que les années précédentes. De même qu'il est difficile de déterminer pourquoi certains messages sur les médias sociaux deviennent "viraux" et d'autres non, il est difficile de dire pourquoi aucune fraude ne semble être devenue aussi "virale" en 2024 que les années précédentes. Il se peut que les gens soient plus conscients de l'existence de ces stratagèmes frauduleux et qu'ils ne soient pas autant tombés dans le panneau. Il se peut aussi que le recrutement et la commercialisation de ces systèmes se soient déplacés hors ligne ou vers la messagerie privée, ce qui les rend plus difficiles à repérer et à suivre.

Le nombre de cas de fraude déclarés reste élevé

Bien que le volume global de la fraude ait diminué, TRM a constaté que des milliers de nouveaux sites d'escroquerie l'investissement et d'hameçonnage étaient déployés chaque mois et a reçu des milliers de rapports de Chainabuse, la plus grande plateforme publique de signalement d'activités cryptographiques illicites.

Le volume de trafic entrant vers les adresses signalées sur Chainabuse semble rester stable en 2024 - et à des niveaux relativement élevés par rapport aux années précédentes.

Enfin, les activités frauduleuses signalées sur Chainabuse correspondent aux données internes de TRM qui montrent que le bitcoin est la méthode de paiement la plus courante demandée par les escrocs - bien que sa prédominance ait diminué au fil du temps. 

Les escroqueries de type "financial grooming" ou "pig butchering" ont rapporté plus de 2,5 milliards d'USD en 2024.

Les escroqueries de toilettage financier, également connues sous le nom de "pig butchering", ont connu une baisse significative en 2024. Les adresses associées à cette typologie de fraude ont reçu au moins un montant estimé à 2,5 milliards USD, soit une baisse possible de 58 % par rapport à 2023. Ce total est très probablement inférieur à la réalité, car de nombreuses victimes ne déclarent pas leurs pertes - et encore moins leurs expériences publiquement.

TRM attribue cette réduction, en partie, à l'intensification des efforts d'application de la loi dans le monde entier. Par exemple, le nombre de gels d'USDT (historiquement la crypto-monnaie de choix pour les groomers financiers) a considérablement augmenté à la fin de 2023 et s'est poursuivi en 2024.

L'analyse de TRM a également révélé qu'il y avait moins d'entités de toilettage financier à haut volume actives en 2024 qu'en 2023. Ce déclin est probablement dû à la combinaison des mesures d'application de la loi susmentionnées, ainsi qu'à une sensibilisation accrue, à un retard dans les déclarations et à une évolution des tactiques des fraudeurs.

{{2025-crypto-crime-report-pig-butchering-dropdown-1}}

{{2025-crypto-crime-report-pig-butchering-dropdown-2}}

{{2025-crypto-crime-report-pig-butchering-dropdown-3}}

Malheureusement, le lien entre le toilettage financier et l'escroquerie forcée, signalé publiquement, semble toujours d'actualité. Les adresses connues pour être utilisées pour le paiement de rançons facilitant le sauvetage de victimes d'escroquerie forcée ont continué à recevoir plusieurs millions de dollars en 2024.

Les acteurs de la menace ont de plus en plus recours à l'IA pour escroquer les victimes

TRM a vu des fraudeurs utiliser l'IA de multiples façons en 2024, et s'inquiète fortement de son utilisation future. Les "groomers" financiers et autres escrocs utilisent de grands modèles de langage (LLM) pour.. :

• Créer plus facilement des personas adaptés à la région où réside la victime ciblée et avoir des conversations plus réalistes.
• Créer des imitations vocales et vidéo en direct de personnes célèbres (ou de parents ou de PDG des victimes) pour inciter les victimes à investir de l'argent, à payer une facture ou à payer un otage.
• Envoyer un plus grand nombre de messages d'hameçonnage (et de meilleure qualité)
• Créer des images pornographiques de personnes dans le but de les extorquer
• Créer de faux personas pour contourner les exigences de connaissance du client (KYC)

{{2025-crypto-crime-report-ai-crime-blog-callout-1}}

{{premium-content_chapter-divider}}

<span class="premium-content_chapter">ILLICIT DRUGS</span>

Les ventes de drogues illicites ont continué à croître et à se développer en dehors des écosystèmes du darknet.

Les ventes en ligne de drogues illicites basées sur les crypto-monnaies ont connu une croissance annuelle de plus de 19 % entre 2023 et 2024, approchant les 2,4 milliards de dollars.

En 2024, 42 % de nouvelles places de marché du darknet (DNM) ont été lancées en moins d'une année sur l'autre, la proportion de DNM exclusivement moneros étant passée d'un peu plus d'un tiers en 2023 à près de la moitié en 2024.

Les ventes de drogues continuent de se déplacer vers les plateformes de chat et de médias sociaux cryptés en Occident.

Au cours de l'année écoulée, le commerce de drogues illicites en ligne a continué à se décentraliser en s'éloignant des marchés du darknet et en s'orientant vers des plates-formes de chat et de médias sociaux cryptés. Cette tendance, déjà présente dans les communautés occidentales, est de plus en plus observée dans l'écosystème de langue russe.  

Aujourd'hui, les vendeurs choisissent d'établir des boutiques et de s'engager dans des transactions directes par le biais d'un large éventail d'applications de communication cryptées et de courriels. Ces plateformes permettent aux vendeurs d'atteindre des clients moins avertis sur le plan technologique, tout en atténuant les turbulences du marché causées par les escroqueries de sortie du marché du darknet ou les fermetures par les forces de l'ordre. À cet égard, l'utilisation d'applications de communication cryptées telles que Telegram et Signal a réduit les obstacles à l'achat de produits en ligne pour les acheteurs de drogues, tout en réduisant les frais que les vendeurs paient aux marchés du darknet pour les ventes. Cette migration est encore renforcée par le fait que la majorité des nouveaux DNM occidentaux lancés en 2024 ont été caractérisés par des caractéristiques de conception médiocres ou des problèmes de sécurité.

La réduction de la qualité et du nombre d'utilisateurs des DNM occidentaux contraste avec l'écosystème de langue russe, où la concurrence féroce et les profits élevés stimulent l'innovation. Les administrateurs du marché russe du darknet expérimentent désormais des développements tels que la résolution des litiges facilitée par l'intelligence artificielle, une intégration plus étroite avec les applications de communication cryptées, des programmes d'incitation, la réduction des dommages, la personnalisation de l'interface utilisateur et des campagnes de marketing agressives dans les espaces numériques et physiques.

Les places de marché du darknet en langue russe continuent d'alimenter le volume global des ventes de drogues illicites

Malgré les nombreux défis auxquels les places de marché du darknet ont été confrontées au cours de l'année 2024, ces plateformes ont néanmoins connu une légère augmentation de leurs revenus par rapport à 2023, générant plus de 1,7 milliard de dollars. 

Conformément à la tendance observée en 2023, les places de marché du darknet en langue russe continuent d'être à l'origine de la grande majorité des revenus générés, contribuant à hauteur de plus de 97 % au volume global des ventes de drogues illicites (en hausse de plus de 1 % par rapport à 2023) en bitcoins et en TRON.

La faible menace d'action de la part des services répressifs russes, associée au modèle de livraison basé sur la goutte morte (pour en savoir plus, cliquez ici), à l'accent mis sur les drogues de synthèse (telles que l'alpha-PVP et la méphédrone, qui peuvent être produites localement), ainsi qu'à la grande disponibilité et au faible prix des précurseurs chimiques de drogues généralement importés de Chine, ont permis aux places de marché du darknet en langue russe de prospérer. 

Seuls quatre DNM de langue russe ont quitté l'écosystème d'une vingtaine d'acteurs en 2024. Le départ de leaders du marché tels que Solaris Market - qui a cessé ses activités à l'automne 2024 - est un événement rare. Et bien qu'il n'y ait pas eu d'autres démantèlements réussis de DNM en langue russe depuis la chute d'Hydra Market en avril 2022, les administrateurs de ces plateformes évitent également les escroqueries de sortie (typiques de l'écosystème des DNM occidentaux), préférant cesser volontairement leurs activités et permettre à tous les utilisateurs de retirer leurs fonds du dépôt fiduciaire de la place de marché.

Les places de marché occidentales du darknet ont dû faire face à des mesures répressives soutenues et à des escroqueries à la sortie.

Contrairement aux DNM en langue russe, les places de marché occidentales du darknet ont continué à lutter tout au long de l'année 2024 en raison de l'action soutenue des forces de l'ordre, couplée à plusieurs escroqueries à la sortie très médiatisées. 

Cela a réduit la confiance des utilisateurs et freiné la croissance de l'écosystème, créant un climat de méfiance qui rappelle les conséquences de l'opération Onymous (le démantèlement par les forces de l'ordre de la place de marché du darknet Silk Road 2.0 et d'une série de DNM plus petits en 2014) et de l'opération Bayonet/GraveSac (le démantèlement coordonné des places de marché du darknet AlphaBay et Hansa Market par les forces de l'ordre américaines et européennes en 2017), qui ont ébranlé l'écosystème des DNM occidentaux.

Après la disparition de Bohemia Market (un DNM occidental prolifique) et de Cannabia Market (son marché jumeau) lors d'une escroquerie présumée en janvier 2024 ( révélée plus tard par les autorités néerlandaises comme faisant l'objet d'une enquête), la communauté a été témoin de l'escroquerie d'Incognito Market en mars 2024. Cet incident a également marqué la tentative inédite de son administrateur, Pharoah (arrêté en mai 2024 et révélé être Rui-Siang Lin, un ressortissant taïwanais de 23 ans), d'extorquer les utilisateurs de la place de marché. 

Cette crise a été aggravée par la saisie de Nemesis Market par les forces de l'ordre allemandes en mars 2024, ainsi que par la disparition d'autres acteurs importants et fiables, notamment Cypher Market (qui a disparu en avril 2024) et GoFish Market (septembre 2024), qui avait même été inclus dans la Superliste des places de marché approuvées par la communauté. 

Néanmoins, l'écosystème occidental du DNM a connu quelques innovations en dépit des récentes mesures d'application de la loi. Parmi les plus notables, on peut citer la première fusion-acquisition entre deux places de marché sur le darknet, par laquelle le SuperMarket, en difficulté, a été absorbé par DrugHub, désormais superlisté, dans le cadre d'une opération qui a duré environ un mois. L'année 2024 a également vu la création de la première place de marché occidentale du darknet réservée à Telegram, Si Market, qui accueille aujourd'hui plus de 40 vendeurs spécialisés dans la vente de psychédéliques, de cannabis et de produits liés au cannabis.

L'utilisation de crypto-monnaies dans les ventes de médicaments en magasin a augmenté en 2024

L'utilisation des crypto-monnaies dans la vente de médicaments en magasin a connu une forte augmentation au cours de l'année écoulée. TRM Labs est le seul fournisseur de blockchain intelligence à disposer d'une catégorie spécialisée propre aux vendeurs de médicaments individuels - et cette année, nous avons vu les volumes entrants envoyés aux boutiques de vendeurs illicites plus que doubler. En 2023, ces adresses ont reçu plus de 289 millions de dollars. En 2024, ce chiffre a grimpé en flèche pour atteindre plus de 600 millions d'USD. Cette augmentation spectaculaire peut refléter la décentralisation du commerce de la drogue par rapport aux marchés traditionnels du darknet, les vendeurs étant de plus en plus habiles à opérer sur de multiples plateformes, tant sur le clearnet que sur le darknet - y compris les sites web de commerce électronique et les plateformes de médias sociaux.

L'arrestation du fondateur de Telegram incite les vendeurs de médicaments à migrer vers d'autres plateformes

L'arrestation du fondateur de Telegram, Pavel Durov, en août 2024, a déclenché un changement notable dans la dynamique opérationnelle des vendeurs de médicaments de la plateforme. 

Historiquement, Telegram a été une plateforme privilégiée pour la vente de drogues - en raison de sa sécurité et de la perception publique de non-coopération avec les forces de l'ordre, ainsi que des contrôles d'accès stricts pour les groupes et les canaux. Cependant, l'arrestation de Durov a renforcé les craintes que Telegram ne fournisse des données sur ses utilisateurs aux forces de l'ordre. Par conséquent, de nombreux fournisseurs migrent vers d'autres plateformes, notamment Signal, Session et WhatsApp. Cet exode devrait se poursuivre à mesure que Telegram applique des mesures plus strictes pour réduire les activités criminelles sur son réseau et offrir de nouvelles possibilités d'interception.

Les fabricants chinois de précurseurs de drogues s'adaptent à l'intensification des efforts de répression

Les volumes de crypto-monnaies destinés aux fabricants chinois de précurseurs de médicaments ont connu une baisse significative, passant de 27,6 millions d'USD en 2023 à 17,0 millions d'USD en 2024. Cette baisse peut s'expliquer en partie par les mesures plus fermes prises par le gouvernement chinois à la suite du sommet Biden-Xi de novembre 2023. Ce sommet a conduit le Parti communiste chinois (PCC) à interdire une série de précurseurs du fentanyl et à fermer certains fournisseurs, puis à interdire à nouveau plusieurs nitazènes et analogues en juillet 2024. En conséquence, les fabricants de précurseurs de drogues ont commencé à se tourner vers de nouveaux analogues et substances, tout en adoptant des méthodes alternatives aux crypto-monnaies pour masquer leurs empreintes financières.

TRM a observé que ces fabricants ont adapté leurs pratiques en réponse à l'intensification des efforts d'application de la loi. Plus précisément, ces fabricants sont de plus en plus prudents lorsqu'il s'agit de communiquer des adresses de crypto-monnaies dans le cadre de communications directes avec les acheteurs. Ce changement découle de l'efficacité démontrée de l'analyse de la blockchain pour tracer les transactions illicites et faciliter les enquêtes.

{{premium-content_chapter-divider}}

Perspectives d'avenir

L'évolution du paysage de la crypto criminalité en 2024 met en évidence une interaction complexe entre des mesures de sécurité qui progressent et des acteurs illicites qui s'adaptent de plus en plus. Alors que les efforts pour freiner les activités illégales ont donné des résultats prometteurs, les acteurs de la menace continuent d'innover - en exploitant les vulnérabilités au sein de la finance décentralisée, de l'infrastructure de la blockchain et des technologies émergentes.

La résilience et l'adaptabilité des réseaux illicites ont été un thème clé tout au long de l'année. Les entités sanctionnées, les organisations terroristes et les groupes de Rançonlogiciel ont changé de tactique en réponse aux mesures de répression mondiales, adoptant de nouvelles technologies et méthodes pour dissimuler leurs activités. Cette capacité d'adaptation souligne la nécessité d'une évolution constante des stratégies de répression et de la coopération internationale.

L'utilisation croissante des crypto-monnaies par des organisations terroristes et des acteurs parrainés par l'État illustre la nature à double tranchant des innovations technologiques, qui offrent à la fois des opportunités et des risques. Les acteurs du Rançonlogiciel et les fraudeurs tirent parti des avancées technologiques, notamment des passerelles entre les chaînes et de l'intelligence artificielle, pour contourner la détection et étendre leurs opérations.

La fragmentation des marchés illicites, en particulier dans le domaine de la vente de stupéfiants, est le signe d'une évolution vers la décentralisation, les entreprises criminelles délaissant les places de marché traditionnelles du darknet pour se tourner vers des plateformes plus souples et plus résistantes. Cette évolution présente à la fois de nouveaux défis et des possibilités de perturbation.

En fin de compte, la lutte contre la criminalité liée aux cryptomonnaies exige une approche proactive et collaborative. Les organismes de réglementation, les services répressifs et les partenaires du secteur privé doivent continuer à s'adapter, à innover et à coopérer pour devancer des acteurs de la menace de plus en plus sophistiqués. Au cœur de cet effort se trouve l'utilisation d'outils avancés de blockchain intelligence , qui fournissent des informations essentielles pour tracer les transactions illicites, identifier les acteurs de la menace et soutenir les mesures d'application de la loi. Les progrès réalisés dans la perturbation des réseaux illicites démontrent l'impact de l'action collective, mais une vigilance et une adaptabilité soutenues - renforcées par la Analyse Blockchain de pointe d'Analyse Blockchain - seront essentielles pour sécuriser l'écosystème crypto dans les années à venir.

{{premium-content_chapter-divider}}

A propos de TRM Labs

TRM Labs fournit des solutions Analyse Blockchain pour aider les forces de l'ordre et les agences de sécurité nationale, les institutions financières et les entreprises de crypto-monnaies à détecter, enquêter et perturber la fraude et la criminalité financière liées aux crypto-monnaies. La plateforme d'blockchain intelligence de TRM comprend des solutions pour tracer la source et la destination des fonds, identifier les activités illicites, monter des dossiers et construire une image opérationnelle des menaces. Des agences et des entreprises de premier plan du monde entier font confiance à TRM pour permettre un écosystème cryptographique plus sûr et plus sécurisé. TRM est basé à San Francisco, CA, et recrute dans les domaines de l'ingénierie, du produit, des ventes et de la science des données. Pour en savoir plus, visitez le site www.trmlabs.com.