Sanctions américaines sur les mixeurs de crypto : l'affaire Tornado Cash

La première fois qu’un logiciel open-source a été sanctionné

Le 8 août 2022, l’Office of Foreign Assets Control (OFAC) a fait quelque chose de jamais vu : il a ajouté Tornado Cash à sa liste des personnes et entités sanctionnées. Pas une entreprise. Pas un individu. Mais un protocole logiciel déployé sur la blockchain Ethereum. Ce n’était pas un site web qu’on pouvait fermer. Ce n’était pas un compte bancaire qu’on pouvait geler. C’était du code - du code ouvert, immuable, et fonctionnel depuis des années. Et pourtant, les États-Unis l’ont interdit.

Comment Tornado Cash fonctionnait vraiment

Tornado Cash n’était pas une application que vous téléchargez. C’était un ensemble de contrats intelligents sur Ethereum. Quand un utilisateur voulait masquer l’origine de ses ETH, il déposait une somme - 0,1 ETH, 1 ETH, 10 ETH ou même 100 ETH - dans une « piscine d’anonymat ». Ce mélange regroupait les fonds de centaines d’autres utilisateurs. Ensuite, il pouvait retirer une somme équivalente, mais depuis une adresse complètement différente. Grâce à des preuves à connaissance nulle (zero-knowledge proofs), personne ne pouvait relier le dépôt initial au retrait final.

Le système n’exigeait aucune inscription. Aucun KYC. Aucun mot de passe. Aucun contrôle. Et une fois déployé, aucun développeur ne pouvait le modifier ou l’arrêter. Même si les fondateurs avaient disparu, le protocole continuait de fonctionner. C’était la promesse de la décentralisation : une technologie qui ne dépendait de personne.

Le lien avec les cybercriminels

Les autorités américaines n’ont pas sanctionné Tornado Cash parce qu’il protégeait la vie privée. Elles l’ont fait parce qu’il était utilisé par des criminels. Selon le Département du Trésor, plus de 7 milliards de dollars en crypto ont été lavés via Tornado Cash depuis sa création. Une grande partie venait de piratages majeurs : 96 millions de dollars volés lors du piratage de la passerelle Harmony en juin 2022, 7,8 millions lors du piratage de Nomad en août 2022. Mais le plus gros coupable, selon les États-Unis, était le groupe Lazarus, soutenu par la Corée du Nord. Ce groupe aurait utilisé Tornado Cash pour blanchir plus de 455 millions de dollars de fonds volés.

Le sous-secrétaire au Trésor, Brian E. Nelson, a dit clairement : « Malgré les assurances publiques, Tornado Cash a répété à plusieurs reprises son échec à mettre en place des contrôles efficaces pour empêcher le blanchiment de fonds par des acteurs cybernétiques malveillants. »

La réaction du monde de la crypto

La communauté crypto a réagi avec colère et inquiétude. Pour beaucoup, Tornado Cash n’était pas un outil de crime, mais un outil de liberté financière. Des utilisateurs légitimes - journalistes, dissidents, entrepreneurs dans des pays autoritaires - l’utilisaient pour protéger leurs transactions contre la surveillance. Sanctionner le logiciel, c’était comme sanctionner un cadenas parce qu’un cambrioleur l’a utilisé.

Des groupes comme la Electronic Frontier Foundation et le Crypto Council for Innovation ont dénoncé la décision comme une atteinte à la vie privée et un danger pour l’innovation. Si un développeur peut être tenu responsable de l’usage criminel de son code ouvert, qui va oser créer un nouvel outil de confidentialité ?

Le procès de Roman Storm

En août 2025, après un procès de quatre semaines à New York, le jury a rendu un verdict inédit. Roman Storm, l’un des fondateurs de Tornado Cash, a été reconnu coupable d’avoir conspiré pour exploiter une entreprise de transfert d’argent non autorisée. Mais sur les chefs plus graves - conspiration pour blanchiment d’argent et violation des sanctions - le jury n’a pas pu se mettre d’accord. Il y a eu un « hung jury ».

Ce verdict a mis en lumière une question fondamentale : un développeur peut-il être tenu criminellement responsable pour l’usage que d’autres font de son logiciel ? Si oui, alors tous les créateurs de logiciels open-source - même ceux qui ne veulent pas aider les criminels - pourraient être poursuivis. Ce cas a créé un précédent qui résonne dans tout le secteur.

Les sanctions ont-elles vraiment arrêté Tornado Cash ?

Non. Les contrats intelligents de Tornado Cash sont toujours actifs sur Ethereum. Les transactions continuent. Les criminels continuent de les utiliser. Les échanges comme Coinbase et Kraken ont bloqué les adresses sanctionnées, mais les utilisateurs malveillants ont trouvé des moyens de contourner ces blocages : en passant par des protocoles décentralisés, en utilisant des relais non régulés, ou en déplaçant les fonds entre plusieurs mixeurs.

Des analyses montrent que les fluctuations des sanctions n’ont eu qu’un impact minime sur l’usage du protocole par les pirates. La technologie est trop robuste pour être arrêtée par un décret. Ce n’est pas une entreprise que vous fermez. C’est un logiciel qui tourne sur des milliers d’ordinateurs à travers le monde.

Le retrait partiel des sanctions - et la confusion qui suit

Le 21 mars 2025, des rumeurs ont circulé : les sanctions sur Tornado Cash seraient levées. Le prix du jeton TORN a bondi de 8 à 15 dollars en quelques heures. Mais ce n’était pas une décision officielle de l’OFAC. C’était une interprétation erronée d’un document technique. Les sanctions n’ont jamais été officiellement annulées. Les adresses restent sur la liste noire. Les institutions financières continuent de bloquer les transactions. Et les développeurs restent dans l’incertitude.

La confusion est totale. Personne ne sait vraiment si Tornado Cash est légal ou non. Les avocats recommandent aux utilisateurs de ne pas y toucher. Les échanges n’osent pas le réactiver. Les chercheurs en blockchain se demandent comment réguler quelque chose qui ne peut pas être contrôlé.

Qu’est-ce que ça change pour vous ?

Si vous êtes un utilisateur normal de crypto, vous n’avez probablement jamais utilisé Tornado Cash. Mais ce qui s’est passé là-bas vous concerne. Parce que si un outil de confidentialité peut être sanctionné, demain, ce pourrait être un autre. Un portefeuille anonyme. Un protocole de paiement privé. Une application de dons non traçables.

Les autorités cherchent à bloquer les criminels. Mais elles risquent de bloquer aussi les innocents. La frontière entre vie privée et blanchiment est floue. Et pour l’instant, les États-Unis ont choisi de la franchir en brûlant tout ce qui se trouve de l’autre côté.

Le futur des mixeurs de crypto

Depuis Tornado Cash, de nouveaux protocoles apparaissent. Certains intègrent des « filtres de conformité » - des mécanismes qui bloquent les fonds provenant d’adresses sanctionnées. D’autres se déplacent vers des blockchains moins régulées. Certains développeurs abandonnent même les mixeurs traditionnels pour des solutions comme zk-SNARKs intégrés directement dans les protocoles de paiement.

Le message est clair : la régulation ne peut pas arrêter la technologie. Mais elle peut la transformer. Et ce n’est pas toujours pour le mieux.