Si le nombre de vols de « cryptocurrencies » semble avoir explosé en ce début d’année, ces derniers semblent rester au rang des faits divers – En octobre 2016, Yapizon (site d’échange de cryptomonnaies) déclare un vol de 5 millions de dollars en Bitcoins ; en septembre 2017, Fireye (société de sécurité américaine) a révélé une attaque de la Corée du Nord visant plusieurs sites en Corée du Sud et dérobant ainsi plusieurs millions de cryptomonnaies (en Ether, Bitcoins et Bithumbs) ; en janvier 2018, la plateforme de change Coincheck au Japon a fait l’objet d’un vol massif d’environ 430 millions de dollars en NEM la plus grande somme volée à ce jour de « cryptocurrencies ». Dernièrement, en juin, un demi-million en Zen a été volé à la blockchain Zencash. Tous ces exemples ne sont qu’un aperçu des « crypto-hack » répertoriés.
Il est faux de croire que ces vols sont le fruit de groupes de hackers expérimentés, car la réalité est toute autre. Il est en effet aisé d’acquérir, différents logiciels malveillants ou virus sur le Dark Net[1] pour une centaine de dollars qui permettent à n’importe quel amateur d’obtenir illégalement ces monnaies cryptographiques. A titre d’exemple, en novembre 2017 la société russe de sécurité Kaspersky Labs a annoncé la découverte d’un virus (Cryptos shuffler) pénétrant les ordinateurs et permettant de dérober des Bitcoins. Déjà en octobre de cette même année, Carbon Black a, dans son rapport « The Ransomeware Economy », relevé un accroissement de l’offre en matière de logiciels malveillants. Force est de constater que ce marché est devenu très lucratif.
Quelle protection pour les utilisateurs ?
A l’aune de ces événements se pose la question de la mise en place de normes de sécurités : qui doit prendre les mesures de protection entre le dépositaire[1] et l’utilisateur ? Simultanément, à qui incomberait juridiquement en Suisse la responsabilité en cas de « crypto-hacking »?
Malgré le peu de clarté en la matière, certains points nécessitent d’être pris en compte.
En premier lieu, il s’agit de déterminer d’une part de quelles manières sont détenues d’une part les cryptomonnaies et, d’autre part, la clé privée. La protection de l’utilisateur dépend en effet principalement de la manière dont est conservée la clé privée[2] car le détenteur de la clé a accès aux cryptomonnaies. De manière générale, il existe à cet effet différents modes de détention qui dépendent de l’adresse (assimilée à un numéro de compte) et de l’accès à la clé privée :
– Le « compte collectif » pour lequel le détenteur de l’adresse[3] est le seul à détenir la clé privée.
– Le « Wallet »[4] fourni par un dépositaire avec un logiciel de portefeuille[5]. Le Wallet conserve les clés privées et le dépositaire a la possibilité de les protéger de diverses manières (un mot de passe, 3D-Secure etc.). L’utilisateur et le dépositaire ont tous deux accès aux clés privées.
– Le « Private Wallet » permet à l’utilisateur d’être le seul à avoir accès aux clés privées. Ceci suppose d’enregistrer les clés sur un support physique (ordinateur ou clé USB, etc.)
– Le « compte direct » signifie que l’utilisateur installe directement sur son ordinateur un « Desktop Wallet » permettant à la machine d’être partie du réseau peer-to-peer. Il n’y a ici dès lors pas de dépositaire. Les clés privées peuvent aussi être enregistrées sur un support physique comme par exemple un disque dur.
Seuls les 3 premiers cas sont des modes de détention sur une plateforme ou autre institut financier. Dès lors, pour le « compte collectif » et le « Wallet », le dépositaire a accès aux clés privées et donc aux cryptomonnaies, avec pour conséquence une potentielle responsabilité directe du dépositaire en cas de vol des clés. En effet, dans ces cas de figure le dépositaire est chargé de stocker les clés privées en lieu sûr. En d’autres termes, il devrait s’assurer de prendre les mesures de précaution et de sécurité suffisantes concernant le lieu de conservation. A l’inverse, concernant le « Private Wallet » et le « Compte directe », les clés privées sont conservées uniquement par l’utilisateur et non par un tiers. Dans ce dernier cas, il est de la responsabilité de l’utilisateur de prendre les mesures de sécurité suffisantes pour éviter un vol (seule sa responsabilité serait engagée).
Quel type de relation contractuelle ?
En second lieu, le fait de déterminer le statut juridique de la plateforme (intermédiaire financier, dépositaire professionnel ou encore négociant de valeurs mobilières) et de qualifier la nature de la relation contractuelle avec cette dernière, sont des prérequis nécessaires pour comprendre la couverture dont l’utilisateur pourrait bénéficier (une protection légale indirecte ou contractuelle).
Bien qu’en Suisse les cryptomonnaies ne soient régies par aucune disposition légale particulière à l’heure actuelle, il n’en demeure pas moins que selon le modèle d’affaires choisi, la société faisant commerce de ces dernières peut être soumise à autorisation ainsi qu’à la surveillance de la FINMA à condition que cette dernière soit considérée comme un dépositaire professionnel ou un intermédiaire financier ayant une activité bancaire au sens de la Loi sur les Banques (ci-après « LB »).
Dans cette hypothèse, Il est envisageable de considérer que la plateforme pourrait être tenue responsable au même titre qu’un établissement bancaire qui verrait les fonds de ses clients détournés par un tiers.
Tout comme les banques, les plateformes[6] se doivent de respecter un certain nombre de mesures de sécurité au sens de la Circulaire FINMA 2008/21 « Risques opérationnels des banques » et donc une responsabilité en cas de faille doit pouvoir être invoquée par l’utilisateur.
Cependant, les établissements bancaires ont pris l’habitude d’inclure systématiquement une clause d’exclusion de garantie dans les conditions générales ou dans le contrat e-banking faisant assumer les risques au client, sauf faute grave de la banque. Ici l’évaluation de la faute et la responsabilité s’étudie au cas par cas.
Sous réserve du cas de figure ci-avant, force est de constater que la réglementation suisse dans ce domaine est encore au stade embryonnaire. Des réflexions s’imposent dès lors que les normes actuelles apparaissent comme insuffisantes et que la protection de l’utilisateur quasi inexistante.
Relevons encore qu’il est indispensable de bien comprendre qui de l’utilisateur ou du dépositaire est tenu responsable d’un éventuel vol de la clé privée. Seule la lecture attentive par le client-utilisateur du contrat et/ou des conditions générales lors de l’ouverture d’un « Wallet » sur une plateforme ou autre institution financière répondra à cette question.
Comment choisir sa plateforme ?
Si le mode de détention du « Wallet » et des clés privées est primordial dans les éléments constitutifs de la responsabilité à prendre suite à un « crypto-hack », des actions préventives apparaissent comme indispensables pour l’utilisateur. Notamment en privilégiant des « Hardwares Wallets », en s’informant sur la manière la plus sure d’effectuer des transactions en cryptomonnaies, etc. A cet égard, les conseils de sécurité en la matière fleurissent sur internet. De plus, aux vues des différentes réglementations et absence de celles-ci dans les divers pays où se trouvent les plateformes de change, une uniformité de la protection des investisseurs sur le plan international semble pour l’heure irréalisable, les différents Etats non seulement ayant leur propre qualification des crytommonaies, mais aussi arborant l’impérialisme d’autres Etats.
A cela s’ajoute la responsabilité de la plateforme qui doit prendre les mesures nécessaires en termes de sécurité, de système de contrôle, de garantie, etc. Pour preuve aux Etats-Unis, parmi les motifs invoqués par la SEC (Securities and Exchange Commission) suite à son refus pour le moment d’octroyer une licence pour des ETF[7] Bitcoin sur sol américain, il y a le manque d’un cadre légal pour les cryptomonnaies et les « Exchanges » ainsi que l’insuffisance de sécurité et d’assurance pour les investisseurs (hacking et perte des clés privées). Cela a pour conséquence que certaines plateformes prennent les devants comme CDBOE (Chicago Board Options Exchange) en déposant leur candidature auprès de la SEC. Cette démarche a pour but d’assurer que les responsabilités pour la détention des fonds des investisseurs, la perte ou le vol des Bitcoins incombe aux plateformes concernées. A voir si ces promesses vont se concrétiser et si d’autres plateformes et autorités suivront le mouvement.
[1] On entend ici par dépositaire une plateforme, institut financier ou tout autre société où le portefeuille électronique « Wallet » est déposé ; sans lien avec la qualification juridique du modèle d’affaire au sens du droit suisse.
[2] Cette clé permet en signant les transactions de prouver à l’ensemble des pairs d’un réseau que l’on est bien propriétaire des cryptomonnaies envoyées.
[3] Dans ce cas le détenteur de l’adresse peut être directement la plateforme de change ou un intermédiaire financier (ex. Swissquote) ou autre, mais pas l’utilisateur.
[4] En matière de cryptomonnaies il s’agit d’un procédé de stockage physique ou numérique intégrant deux éléments : une clé publique correspondant à une adresse bitcoin ou autre cryptomonnaie, et une clé privée connu du seul propriétaire des cryptos.
[5] Ce programme qu’on appelle le client permet de se connecter au réseau peer-to-peer et de diffuser ses transactions.
[6] Les plateformes entrant dans le champ d’application de la LB au sens de l’art. 2LB.
[7] Fonds indiciels cotés et négociés en bourse comme une action.
