Finance décentralisée : la Cour d’appel de Paris confirme le jugement de première instance dans l’affaire Platypus

09.12.2024

Après le siphonnage de fonds d’une plateforme de cryptoactifs, les deux mis en cause avaient pourtant été relaxés, le tribunal blâmant des erreurs de conception du service.

Dans un arrêt du 21 novembre 2024, les magistrats de la Cour d’appel de Paris viennent de confirmer la relaxe prononcée dans le cadre de l’affaire Platypus par la 13^e chambre correctionnelle du tribunal judiciaire de la capitale en décembre 2023. Un dossier de siphonnage de cryptoactifs au préjudice important, évalué à 9,5 millions d’euros, qui a suscité l’intérêt des magistrats, visible dans les seize pages de la décision consultée par Dalloz actualité. Et qui pourrait avoir d’importantes répercussions, si l’on en croit la partie civile. Cette dernière soulignait qu’une confirmation du jugement attaqué protégerait « de facto tous les hackers de nationalité française désireux de mettre à profit leurs talents pour partir à la recherche de failles dans la blockchain leur permettant de subtiliser les cryptoactifs (et, indirectement, les fonds) de millions d’utilisateurs de la blockchain à travers le monde ».

En février 2023, un jeune francilien avait réussi, en exploitant une erreur de conception de la plateforme de finance décentralisée Platypus, à faire main basse sur l’équivalent d’environ 250 000 dollars en cryptoactifs. Ce dernier avait en effet repéré une faille dans la génération des contrats intelligents permettant le siphonnage de 9,5 millions de dollars de la plateforme Platypus, soit le montant du fonds de liquidité des utilisateurs. Si l’entreprise avait réussi à récupérer une partie de ces sommes, la majeure partie d’entre elles s’étaient retrouvées bloquées dans la blockchain à la suite d’une erreur du mis en cause. En première instance, ce dernier avait plaidé une action de « hacking éthique » pour protéger des cryptoactifs en danger.

Appels du parquet et de la partie civile

La décision de première instance était à la fois contestée par le parquet et la partie civile. Le ministère public avait fait appel de la relaxe du second mis en cause, au rôle pourtant mineur, poursuivi pour recel – son frère, le principal suspect dans l’enquête judiciaire, avait lui été poursuivi pour accès et maintien frauduleux dans un système de traitement automatisé de données, blanchiment et escroquerie. À l’audience d’appel, l’accusation a requis une peine de six mois de prison avec sursis après une requalification des faits en blanchiment par présomption. Une demande écartée par la cour. « L’escroquerie étant l’objet d’une relaxe définitive, son blanchiment, tout comme le recel d’escroquerie, ne peut être constitué », rappellent les magistrats dans l’arrêt. Le blanchiment de fraude fiscale, comme celui reposant sur la présomption d’origine illicite des fonds, a certes été mis dans les débats, mais n’a pas été l’objet d’une comparution volontaire du prévenu, défendu par les avocats Seydi Ba et Théodore Jean-Baptiste.

La société Platypus, représentée par les avocats Marie Robin et Valentin Guegan, demandait également en appel, sur les dispositions civiles, plus de huit millions d’euros aux deux mis en cause en réparation de son préjudice. « Il n’y a aucune raison de qualifier de "contractuelles" des interactions informatiques malveillantes générées via des smart contract alors que les mêmes interactions malveillantes constituent un vol lorsqu’un code "classique" (hors blockchain) est exploité (vol de numéro de carte bancaire sur une page web mal sécurisée, subtilisation de devises sur un compte bancaire mal sécurisé, etc.) », soulignaient les conseils de l’entreprise. « L’exploitation d’un smart contract et d’un programme informatique "classique" relève donc du même mode opératoire : détourner des failles dans l’écriture du code pour lui faire exécuter aveuglément des commandes d’une manière non prévue initialement et ayant un effet souvent contraire à ce qui était prévu par son créateur », poursuivaient les avocats. « Soit toutes les interactions générées par le code (déployé sur la blockchain ou non) forment un contrat (ce qui ne fait évidemment aucun sens, aussi bien techniquement qu’à l’aune du droit positif), soit aucune interaction générée par le code n’a de valeur contractuelle », résumaient-ils.

Accès et maintien autorisés

Un raisonnement pas suivi par les magistrats de la cour d’appel. Ces derniers ont d’abord estimé que l’accès et le maintien à la plateforme Platypus étaient autorisés. La blockchain Avalanche, hébergeant le protocole de finance décentralisée Platypus, « mentionne en effet dans son livre blanc l’absence de "permission" nécessaire pour y accéder, et le fait qu’en raison de son caractère hautement inclusif, quiconque peut y accéder et s’y connecter », soulignent les magistrats. Le principal mis en cause est dès lors « intervenu comme utilisateur de la plateforme en interagissant avec son smart contract », poursuivent les juges. « Il a compris que le script Platypus listait les vérifications nécessaires au retrait des sommes selon un mauvais ordonnancement », la vérification des fonds gagés n’étant faite qu’après l’acceptation du retrait. Il existait bien un contrat de prêt, « avec des clauses toute entières contenues dans le "smart contract" », ajoutent les magistrats. « Il n’y a pas eu non plus de soustraction frauduleuse de la chose appartenant à la société Platypus, puisque les fonds avaient été déposés par les utilisateurs de la plateforme », poursuivent-ils.

Les magistrats ont enfin rejeté une éventuelle faute civile basée sur l’abus de confiance, l’escroquerie ou la filouterie et la grivèlerie. L’abus de confiance n’est pas susceptible d’être démontré puisque les fonds « sont remis en pleine propriété par le prêteur ». Idem pour l’escroquerie, le retrait des fonds résultant d’abord d’un dépôt de garantie. Enfin, les cryptoactifs n’étant ni des « boissons ou aliments, des chambres d’hôtel, des taxis ou voiture de place, ou encore des carburants ou lubrifiants », la faute civile à partir des faits de filouterie ou de grivèlerie ne peut être démontrée. « C’est la présence d’une erreur dans le code, combinée à l’existence de cette fonction de "retrait d’urgence" qui a permis "l’attaque" cyber », concluent les juges d’appel.

La décision a fait l’objet d’un pourvoi.