Le développeur de Tornado Cash, sanctionné par le Trésor, a travaillé pour une société liée à une agence de sécurité russe.

Alors que la communauté cryptographique mondiale décrie les sanctions américaines, un nouveau rapport soulève des problèmes de crédibilité pour le projet open-source.

Alexey Pertsev, développeur du mélangeur de crypto-monnaies Tornado Cash, était auparavant employé par une société liée à l'agence de sécurité russe FSB, selon un rapport de la société de renseignement Kharon.

Le département du Trésor a sanctionné Tornado Cash le 8 août, alléguant que des groupes de pirates, dont le Lazarus Group de Corée du Nord, ont utilisé ce service pour blanchir des milliards de dollars. Deux jours plus tard, le gouvernement néerlandais a arrêté Pertsev, un résident des Pays-Bas, soupçonné de "participation à la dissimulation de flux financiers criminels et de facilitation du blanchiment d'argent".

Cette action a suscité un tollé au sein de la communauté cryptographique mondiale, inquiète de voir le gouvernement américain cibler un logiciel libre. Les nouvelles révélations sur les antécédents de Pertsev laissent entrevoir une image plus sombre, les experts en sécurité nationale suggérant que le public ne dispose pas d'informations complètes sur les sanctions.

"Cela soulève de nombreux problèmes de crédibilité pour les développeurs de Tornado Cash", a déclaré Alex Zerden, chercheur principal adjoint au Center for a New American Security. "Ce sont des informations assez profondes qui expliquent pourquoi le gouvernement américain et les autorités néerlandaises ont pris certaines mesures."

Tornado Cash fonctionne avec un logiciel développé par une société enregistrée au Delaware appelée PepperSec. Le rapport Kharon identifie Pertsev comme le fondateur et le PDG de cette société.

Selon les conclusions du cabinet, en 2017, Pertsev a travaillé en tant que spécialiste de la sécurité de l'information et développeur de contrats intelligents pour Digital Security OOO, une entité russe que le département du Trésor a désignée en 2018 pour avoir fourni un soutien matériel et technologique au FSB dès 2015.

"Vous aviez ce type qui travaillait pour [Digital Security OOO] et qui faisait lui-même des pen tests, puis le Trésor a désigné la société pour avoir aidé les capacités de piratage du FSB", a déclaré Nick Grothaus, vice-président de la recherche chez Kharon.

Contrecoup public

Les experts en sécurité et en conformité ont critiqué la décision sans précédent du département du Trésor de sanctionner le logiciel libre Tornado Cash en août, en invoquant le manque d'indications sur l'impact que cela aurait sur les personnes ordinaires utilisant le service axé sur la protection de la vie privée, ainsi que les implications de l'action gouvernementale contre les logiciels libres, plutôt que les cibles traditionnelles que sont les personnes et les entités.

Plus tôt cette semaine, le représentant Tom Emmer (R-Minn.) a envoyé une lettre ouverte à la secrétaire au Trésor Janet Yellen, écrivant que les sanctions "ont un impact non seulement sur notre sécurité nationale, mais aussi sur le droit à la vie privée de chaque citoyen américain".

Les principales sociétés de crypto-monnaie ont adopté des approches différentes de la mesure, Circle mettant sur liste noire les adresses sanctionnées et Tether défiant le département du Trésor, affirmant que le gel des adresses pourrait être une "mesure hautement perturbatrice et imprudente."

L'arrestation de Pertsev a exacerbé les préoccupations en matière de protection de la vie privée, des manifestants se réunissant à Amsterdam pour demander sa libération et scandant "le [code] open source n'est pas un crime."

Zerden a déclaré que les nouvelles informations de Kharon contrastent fortement avec la réaction immédiate de la communauté cryptographique qui suppose de mauvaises intentions de la part des autorités gouvernementales, arguant que les fonctionnaires ne sont souvent pas en mesure de fournir des informations au public en raison des exigences de classification.

"Il y a beaucoup de raisons et de justifications et de déférence que l'OFAC a pour désigner des entités", a-t-il ajouté.

Bien que les conclusions ne prouvent pas l'existence d'un motif sous-jacent du département du Trésor pour cibler Tornado Cash, M. Grothaus a déclaré qu'il est toujours important d'examiner les liens entre les différentes personnes et entités sanctionnées.

"Il semble y avoir une image plus complexe et compliquée qui prend plus de temps à démêler", a déclaré Zerden à Fortune.