Faillite du marché MtGox: Mais où sont passés les bitcoins?

HIGH-TECH C'est désormais une quasi-certitude, l'équivalent de 450 millions de dollars a, semble-t-il, disparu...

Philippe Berry

— 

Bitcoin, la monnaie virtuelle
Bitcoin, la monnaie virtuelle — Rick Bowmer/AP/SIPA

C'est officiel: vendredi, le marché MtGox (prononcé «Mount Gox») s'est placé sous la protection de la loi japonaise sur les faillites. Son PDG français, Mark Karpèles, s'est excusé à plat ventre, évoquant une «faiblesse du système», alors qu'une class action est déjà lancée aux Etats-Unis. Selon ses avocats, 750.000 bitcoins des clients ont sans doute disparu, ainsi que 100.000 bitcoins de l'entreprise. Au cours actuel, cela représente presque un demi-milliard de dollars. Si des hackers sont responsables, cela constituerait le plus gros casse –virtuel ou réel– de l'histoire. Reste à savoir où est passé l'argent.

>> Mark Karpèles, un «supergeek» français au cœur du scandale

Bitcoin, c'est quoi, et comment ça marche?

Bitcoin est une monnaie virtuelle. Cela signifie que personne ne possède de billets. Tout repose «sur un immense livre de comptes public», appelé blockchain, explique à 20 Minutes le chercheur en sécurité informatique à l'Université de Berkeley, Nicholas Weaver. Posséder des bitcoins, c'est en fait avoir une clé cryptée qui ouvre une adresse du registre certifiant «l'utilisateur A possède 5 bitcoins (BTC)». Un portefeuille personnel («wallet») gère ces adresses et les transactions associées. Tout est crypté et protégé par des opérations mathématiques complexes impliquant les «mineurs», des individus qui prêtent la puissance de calcul de leur PC à la communauté. Par mesure de sécurité, les clés privées peuvent être stockées localement, sur un disque dur, une clé USB, un morceau de papier, une pièce métallique ou même un tatouage sous forme de QR code.

Et le MtGox, c'est quoi?

Des bitcoins peuvent s'échanger contre de la monnaie fiduciaire, notamment des dollars. Cela a lieu sur des marchés comme Bitstamp, BTC-e ou MtGox. Ce dernier était le leader en 2013, avec 80% des échanges. Sauf que certains utilisateurs l'utilisaient également comme portefeuille. «Ils spéculaient sur le taux de change», précise Ethan Heilman, chercheur en informatique à l'université de Boston. La pratique était la suivante: je dépose des dollars, j'achète des bitcoins quand le cours est bas, je les revends quand il monte. Dans ce cas de figure, les dollars et les bitcoins ne quittaient pas l'enceinte de MtGox.

Des incidents à répétition

Les problèmes de MtGox ne datent pas d'aujourd'hui. En juin 2011, un hacker réussit à pirater la base du données du site et à récupérer des mots de passe pour vider de nombreux comptes, faisant plonger le cours. En 2013, les autorités américaines saisissent l'équivalent de cinq millions de dollars en bitcoins car MtGox, qui préparait son lancement aux Etats-Unis avec un partenaire local, ne disposait pas des permis nécessaires pour opérer un système de transfert d'argent. A partir de cette date, les retraits en dollars se mettent à traîner, parfois jusqu'à un mois. Les utilisateurs aguerris se tournent vers d'autres services. Selon l'un des jumeaux Winklevoss, qui a misé gros sur cette nouvelle monnaie, MtGox ressemble «à un hôtel infesté de cafards». Le grand public, lui, continue toutefois d'utiliser ses services. Le 7 février 2014, le site suspend les retraits et les transferts externes. Le 10, il évoque un bug. Le 28, il se déclare en faillite.

Que s'est-il passé?

«On ne le sait pas avec exactitude car les dirigeants sont délibérément opaques», accuse Nicholas Weaver. Mark Karpèles a évoqué la faille de «malléabilité» au niveau de la structure du système bitcoin. Selon Nicolas Christin, professeur assistant à l'université Carnegie Mellon, «le vol par
malléabilité n'est pas une faille de bitcoin à proprement parler, c'est une escroquerie: votre créancier vous dit qu'il n'a jamais reçu votre chèque (ce qui est faux) et vous convainc de lui en renvoyer un.» Elle était connue depuis 2011 et les marchés sérieux avaient modifié leur système en conséquence. Pas MtGox, qui aurait été dépassé par les volumes des transactions et n'a pas suivi le rythme des mises à jour de la communauté. Mais les chiffres sont tellement énormes qu'un document non-officiel évoque une «fuite» entre les portefeuilles en ligne et le coffre-fort –censé être protégé hors-ligne («cold storage»). Selon Ethan Heilman, «cela n'a pas de sens car un coffre-fort, par définition, ne fuit pas». Pour l'instant, les experts en sont réduits aux spéculations. Les deux pistes principales: MtGox a menti, et son coffre n'était pas vraiment isolé du réseau Internet, ou il y a eu des malversations internes. Certains évoquent une troisième hypothèse: que les bitcoins soient toujours là, mais que MtGox ait perdu la clé, à tout jamais.

Incompétence ou fraude organisée?

«Pour l'instant, on ne peut pas trancher», juge Nicholas Weaver. Selon Ethan Heilman, les deux ne sont pas mutuellement exclusifs: MtGox a pu «tenter de couvrir son incompétence par une activité frauduleuse», ou vice-versa.

Blanchiment de bitcoins

Si des hackers ont réussi à détourner des fonds, ils disposent de plusieurs méthodes pour les récupérer. Pour blanchir des bitcoins, ils utilisent surtout des services payants baptisés «tumbler» (sèche-linge). Le voleur dépose par exemple 101 BTC «sales» sur un compte. Le tumbler prend une commission et découpe la somme en paquets de dix BTC associés à dix adresses «propres».

Les fonds pourront-ils être récupérés?

Sur le forum Hacker News, certains internautes tentent actuellement de pister les bitcoins manquants. Les experts, eux, sont pessimistes. Ethan Heilman n'exclut pas que si Mark Karpèles collabore avec les autorités, certains fonds soient retrouvés. Mais si les bitcoins ont déjà été «blanchis» et mélangés aux autres, la tâche sera presque impossible. Pourraient-ils au moins être bloqués? «Non, car le protocole est irréversible», répond Nicolas Christin. Une fois qu'une transaction a eu lieu, il n'y a pas de retour en arrière.

Le bitcoin pourra-t-il s'en remettre?

Pour l'instant, il s'agit surtout d'une crise du MtGox, un marché visiblement mal managé. Le cours sur Bitstamp ou BTC-e ne s'est pas effondré. Certains estiment que le scandale fait office de nettoyage par le feu et pourrait assainir le système. Mais alors que le grand public commençait tout juste à se familiariser avec cette monnaie virtuelle et que certaines banques songeaient à s'y mettre, l'épisode pourrait bien refroidir leurs ardeurs. Avec une valeur totale inférieure à 13 milliards de dollars, le bitcoin reste une goutte d'eau dans l'océan de la finance mondiale.