Glossaire de la forensique Bitcoin

La 6ᵉ directive anti-blanchiment de l'UE — partie du paquet AMLA 2024. Harmonise les obligations AML à l'échelle de l'UE, abaisse le plafond des paiements en espèces à 10 000 € et apporte des obligations de vigilance renforcées pour les transferts crypto vers des wallets en self-custody (à partir de 1 000 €). Transposition allemande dans la loi anti-blanchiment d'ici juillet 2027.

Identifiant dérivé de manière cryptographique auquel des montants de Bitcoin peuvent être envoyés. Généré à partir d'une clé publique via des fonctions de hachage. Aujourd'hui, il existe trois formats courants : Legacy (commence par 1), P2SH (commence par 3) et Bech32 (commence par bc1). Une adresse n'appartient pas nécessairement à une seule personne — les analyses de cluster permettent souvent d'attribuer plusieurs adresses à un même propriétaire.

Lorsqu'un utilisateur veut payer 0,8 BTC mais dispose d'un UTXO de 1,0 BTC, 0,2 BTC reviennent en tant que monnaie rendue (change) à une nouvelle adresse du même utilisateur. Cette adresse de change fait partie du cluster — l'identifier correctement est l'une des tâches forensiques les plus ardues. Heuristiques typiques : analyse des montants ronds, Fresh-Address-Detection, change optimal.

Le terme générique pour les mesures de prévention du blanchiment d'argent. Englobe le KYC, le KYT, les déclarations de soupçon (SAR/STR), le screening des sanctions. Cadre juridique au sein de l'UE : AMLR (directement applicable), AMLD6 (directive), AMLA (nouvelle autorité de supervision de l'UE).

La blockchain est un journal relié de manière cryptographique, composé de blocs qui contiennent chacun environ 2 500–3 500 transactions Bitcoin. Toutes les 10 minutes environ, un nouveau bloc est ajouté par le mining. Chaque bloc référence son prédécesseur par un hash — la chaîne qui en résulte est résistante à la manipulation et forme le grand livre public complet de toutes les transactions Bitcoin.

CASP = Crypto-Asset Service Provider (terme européen issu de MiCA). VASP = Virtual Asset Service Provider (terme du GAFI, international). Les deux désignent les prestataires qui fournissent des services crypto à titre professionnel : plateformes d'échange, prestataires de wallet, prestataires de paiement, custodians. Soumis à des obligations AML, KYC et de licence.

Un cluster est un groupe d'adresses Bitcoin appartenant avec une forte probabilité au même propriétaire (une personne, une plateforme d'échange, un pool de minage). Les clusters se construisent via des heuristiques forensiques — le plus souvent en combinant multi-entrée, détection du change et motifs comportementaux. Plus un cluster est grand et stable, plus l'attribution est fiable.

Une transaction collaborative dans laquelle plusieurs utilisateurs regroupent leurs inputs et mélangent les outputs pour entraver le clustering. Popularisée par Wasabi-Wallet (protocole ZeroLink) et Samourai Whirlpool. Forensiquement reconnaissable à des montants d'output égaux (Equal-Output-CoinJoin). Une bonne détection évite que les participants à un CoinJoin soient regroupés par erreur dans un même cluster.

La 8ᵉ modification de la directive européenne sur la coopération administrative (Directive on Administrative Cooperation). Oblige les CASPs à partir de l'année fiscale 2026 à déclarer les données clients, les chiffres d'affaires annuels et les produits de cessions à l'administration fiscale de l'État de résidence. L'équivalent crypto du CRS de l'OCDE existant pour les comptes bancaires.

Le dust désigne de très petits montants d'UTXO (quelques centaines de satoshis) à peine dépensables, parce que les frais dépasseraient la valeur. Une dust-attack consiste à envoyer intentionnellement de tels micro-montants à de nombreuses adresses, afin d'obtenir, lors de la prochaine dépense, des informations de clustering. Forensiquement intéressante comme indicateur de tracking.

Le fan-out décrit une topologie dans laquelle un cluster répartit ses coins sur de nombreux destinataires (typique du layering dans le blanchiment). Le fan-in est l'inverse — de nombreuses sources se consolident dans un cluster (typique des wallets d'agrégation des plateformes d'échange). Les deux sont de forts indicateurs de types d'entités.

Le fingerprinting de logiciels de wallet identifie le logiciel utilisé à partir des caractéristiques des transactions qu'il produit — p. ex. les signatures Wasabi, le choix du nSequence chez Electrum, l'ordre des adresses de la Trezor Suite. Permet des déductions sur le type d'utilisateur et son comportement, sans identification directe.

Une heuristique est une règle probabiliste qui conduit, avec un effort raisonnable, à une réponse probablement correcte. Dans la forensique Bitcoin, les heuristiques sont à la base de l'analyse de clusters et de transactions. Contrairement aux preuves déterministes, elles fournissent des énoncés de probabilité — leur qualité se mesure au taux de faux positifs.

L'heuristique centrale de la forensique Bitcoin : si plusieurs adresses sont utilisées comme inputs dans une transaction, elles appartiennent avec une forte probabilité au même propriétaire — le logiciel de wallet a signé simultanément avec toutes les clés privées correspondantes. Fondement de pratiquement tous les algorithmes de clustering.

Chaque transaction Bitcoin référence des inputs (pointeurs vers des UTXOs existants) et crée de nouveaux outputs. La somme totale des inputs doit être au moins égale à celle des outputs ; la différence constitue les frais de mining. Plusieurs inputs provenant d'adresses différentes suggèrent que ces adresses appartiennent au même propriétaire — base de l'heuristique multi-entrée.

L'obligation d'identification du client, que les banques et les CASPs doivent remplir avant toute entrée en relation — vérification de pièce d'identité, justificatif de domicile, contrôle PEP. Fondement de toute conformité AML. En crypto, le KYC se fait généralement en mode numérique (vidéo-identification, scan de document).

L'extension du KYC à l'analyse continue de chaque transaction : d'où vient l'argent ? Y a-t-il des liens avec des mixers ou des adresses sanctionnées ? Le comportement est-il atypique ? Le KYT est le domaine d'emploi naturel d'outils de forensique on-chain comme le Coinator.

Markets in Crypto-Assets Regulation — règlement européen, en vigueur depuis le 30 juin 2024 (stablecoins) et le 30 décembre 2024 (intégralement). Premier cadre réglementaire complet pour les crypto-actifs. Comprend des obligations de licence, d'information et de conformité pour les CASPs. Combiné au TFR, il apporte la Travel Rule à tous les transferts crypto entre CASPs.

Un service centralisé (ou semi-décentralisé) qui regroupe les dépôts Bitcoin de plusieurs utilisateurs, les mélange et les redistribue dans une autre combinaison — pour dissimuler l'origine. Exemples notables : ChipMixer (saisi en 2023), Sinbad (saisi en 2024), Tornado Cash (basé sur ETH, inscrit à l'OFAC en 2022). Le Coinator reconnaît les motifs caractéristiques des mixers courants.

OFAC = Office of Foreign Assets Control, l'autorité américaine des sanctions. Elle tient la liste SDN (Specially Designated Nationals) — des personnes, organisations et, depuis 2022, également des smart contracts, avec lesquels les personnes des États-Unis ne peuvent faire affaire. Les institutions européennes ne sont pas directement liées, mais reprennent souvent ces listings dans les faits.

Une transaction à deux parties dans laquelle le destinataire apporte lui aussi un input (BIP-78). Cela met en échec l'heuristique multi-entrée classique — l'analyste forensique suppose à tort que tous les inputs appartiennent au même propriétaire. Détection via des distributions d'outputs atypiques et des signatures spécifiques au wallet.

Une peel-chain est une suite de transactions dans laquelle un petit montant est à chaque fois détaché (« peeled ») et la valeur restante est poursuivie via une adresse de change. Dans le blanchiment, la peel-chain sert à fractionner de grosses sommes en petites portions. Forensiquement reconnaissable à une topologie caractéristique : un chemin unique vers l'avant avec des ramifications régulières.

Règlement général sur la protection des données — règlement européen de protection des données à caractère personnel, en vigueur depuis le 25 mai 2018. Pertinent pour le Coinator parce que le travail forensique entre en contact avec des données personnelles : bases légales du traitement, droits des personnes concernées, obligations de notification en cas de violation de données. Le Coinator est exploité en Allemagne dans le respect du RGPD.

Self-custody signifie que l'utilisateur contrôle lui-même les clés privées de ses coins. Les hot wallets sont connectés (application mobile, extension de navigateur), les cold wallets sont hors-ligne (hardware wallet, paper wallet). Nouveauté réglementaire depuis MiCA : pour les transferts entre comptes de CASP et wallets en self-custody à partir de 1 000 €, des obligations KYC étendues s'appliquent.

L'échange direct de coins entre différentes blockchains, sans plateforme centralisée. Protocoles connus : THORChain (BTC ↔ ETH, BNB, AVAX, ATOM, DOGE, LTC, BCH), Chainflip (BTC ↔ ETH, SOL, Arbitrum, Polkadot), Bridgers (agrégateur). Initialement développé pour l'arbitrage, de plus en plus utilisé aussi pour la dissimulation. Le Coinator suit les swaps via le décodage des memos et la corrélation temporelle.

Le provider tagging attribue des adresses à des entités connues — plateformes d'échange, pools de minage, prestataires de paiement, custodians, ETFs. Les adresses taggées sont le fondement de l'interprétation forensique : sans elles, les clusters resteraient des graphes anonymes. Le tagging émerge de l'interaction directe (effectuer un dépôt et observer l'adresse), de l'OSINT et d'échanges au sein de la communauté forensique.

Contamination : propriété selon laquelle un UTXO est historiquement lié à une source suspecte (vol, mixer, liste de sanctions). Il existe plusieurs modèles de calcul : poison-taint (chaque lien colore entièrement), haircut-taint (proportionnel), FIFO/LIFO (basé sur le temps). Concept central pour la vérification de l'origine des fonds.

Transfer of Funds Regulation — règlement européen qui, conjointement à MiCA, met en œuvre la Travel Rule du GAFI. Oblige les CASPs à échanger les informations sur l'expéditeur et le destinataire lors des transferts entre prestataires crypto — sans seuil minimal. Similaire au système de messagerie SWIFT classique dans la banque.

Une transaction Bitcoin est un message signé qui transfère des coins d'un ou plusieurs inputs vers un ou plusieurs outputs. Chaque TX possède un identifiant unique (TXID, un hash). Les transactions sont regroupées dans des blocs et deviennent ensuite immuables.

Le modèle Unspent Transaction Output est le principe comptable de Bitcoin. Chaque output de TX est soit « unspent » (utilisable), soit « spent » (consommé). Le solde d'un wallet se calcule en sommant tous les UTXOs qui lui sont attribuables. Central pour les heuristiques : le modèle UTXO révèle davantage d'informations structurelles que les systèmes fondés sur les comptes.