Dans un acte d’accusation dévoilé le 3 février devant un tribunal fédéral de Brooklyn, à New York, le ministère américain de la Justice (DoJ) a inculpé un Canadien de 22 ans, Andean Medjedovic, de fraude électronique, de piratage informatique, de tentative d’extorsion et de blanchiment d’argent.

Selon l’acte d’accusation, Andean Medjedovic, qui est titulaire d’une maîtrise en mathématiques de l’université de Waterloo, a exploité les vulnérabilités des protocoles DeFi, KyberSwap et Indexed Finance, pour voler des millions de cryptomonnaies à d’autres investisseurs dans leurs pools de liquidités.

Selon le DoJ, en 2023, Andean Medjedovic « a utilisé des centaines de millions de dollars en cryptomonnaie empruntée pour créer des prix artificiels dans les pools de liquidité KyberSwap » et « a calculé des combinaisons précises de transactions qui provoqueraient un “bug” du [protocole] KyberSwap, selon ses propres termes, lui permettant de voler des dizaines de millions de dollars en cryptomonnaies dans les pools de liquidité ».

Il est également allégué qu’avant cela, il avait utilisé une tactique similaire pour exploiter le protocole Indexed Finance DeFi, en utilisant des cryptomonnaies empruntées pour amener les contrats intelligents du protocole à fixer des prix artificiels, puis à voler des cryptomonnaies à partir de ses pools de liquidités.

Le DoJ affirme que Andean Medjedovic a volé environ 48,8 M$ US de crypto dans les pools de liquidité de KyberSwap, et environ 16,5 M$ US dans le protocole Indexed Finance.

Il affirme également que Andean Medjedovic a tenté de blanchir les recettes par l’intermédiaire de mélangeurs de cryptomonnaies et qu’il a essayé d’extorquer les développeurs de KyberSwap, cherchant à obtenir le contrôle du protocole en échange d’environ la moitié des cryptomonnaies volées.

Les allégations à l’encontre d’Andean Medjedovic ont également été au centre d’un certain nombre de litiges au Canada concernant le secteur des cryptomonnaies.

En 2021, un tribunal de l’Ontario a lancé un mandat d’arrêt à l’encontre de Andean Medjedovic, en réponse à deux actions en justice intentées contre lui, dont une action collective proposée dans le cadre du piratage présumé d’Indexed Finance.

Dans sa décision, la Cour supérieure de justice n’a pas jugé que Andean Medjedovic était coupable d’outrage au tribunal pour s’être soustrait à la procédure engagée contre lui, mais elle a déclaré qu’il devrait faire l’objet d’une audience pour outrage au tribunal.

« Il s’agit d’un jeune homme qui, je le crains, est pris entre la loi et un ensemble de règles qu’il affirme appliquer de manière indépendante. La seule façon pour lui de montrer qu’il a raison ou qu’il devrait être considéré comme tel est de participer et de faire valoir les arguments qu’il avance », a déclaré la Cour.

Légale par définition

Le tribunal a noté qu’il existe une théorie dans certains cercles cryptographiques selon laquelle, étant donné que la technologie blockchain est basée sur un code informatique accessible au public — et en vertu de l’affirmation selon laquelle « le code est la loi » — tout échange qui peut être effectué dans les paramètres du code est légal par définition.

« La théorie postule que les participants volontaires acceptent et sont liés par les résultats de l’utilisation de la technologie. Cela signifie que si une personne intelligente peut concevoir un moyen d’exploiter une faille ou une faiblesse dans le code pour inciter le détenteur à conclure une transaction inattendue et défavorable, il faut lui donner plus de pouvoir », a expliqué le tribunal.

Dans ce cas, « Andean Medjedovic a utilisé ses formidables prouesses mathématiques pour concevoir et déclencher une attaque informatique complexe contre Index Finance et l’a essentiellement incité à lui envoyer 15 M$ US en jetons de cryptomonnaie d’autres personnes », commente le tribunal de l’Ontario. « Le plaignant affirme qu’il a “piraté” le système pour le tromper et escroquer les participants de leurs actifs. Le défendeur peut faire valoir qu’il n’a pas fait plus que ce que le code permettait et que le code a force de loi. »

« La question de savoir si la common law de l’Ontario soutient cette théorie juridique pourrait bien être en jeu dans cette action — si Andean Medjedovic y participe.

Aucune des allégations contre Andean Medjedovic n’a été prouvée et il est présumé innocent des accusations criminelles portées contre lui aux États-Unis.

Selon le ministère de la Justice, Andean Medjedovic n’est pas en détention.

L’article Un Canadien inculpé pour piratage de cryptomonnaies aux États-Unis est apparu en premier sur Finance et Investissement.

La réponse courte ? C’est compliqué.

Quatre recours collectifs ont été déposés contre Placements Mackenzie en relation avec l’incident. La société InvestorCOM, spécialisée dans les technologies de l’information et de la communication, est défenderesse dans trois des quatre recours. Les autres défendeurs sont Edward Jones (deux plaintes) et Franklin Templeton (une).

Une plainte a été déposée en Colombie-Britannique, deux en Saskatchewan et une en Ontario, la plus récente ayant été déposée le 18 décembre et annoncée dans un communiqué de presse le 22 février.

Lorsque des recours collectifs sont introduits dans différentes provinces, « aucun tribunal provincial n’est compétent pour décider de la suite à donner à l’affaire », souligne Garth Myers, associé du cabinet Kalloghlian Myers à Toronto. (Garth Myers, comme les autres avocats interrogés dans le cadre de cet article, n’a pas commenté spécifiquement l’affaire du piratage informatique). « L’ouverture de recours collectifs nationaux qui se chevauchent dans différents tribunaux du pays a posé l’un des plus gros problèmes pour les recours collectifs au Canada ».

En revanche, « le système judiciaire fédéral [américain] a le pouvoir de résoudre ce problème », affirme Daniel Bach, associé, recours collectifs, chez Siskinds à Toronto.

Les cabinets d’avocats peuvent accepter de travailler en coopération pour faire avancer une action. Bien que ce soit « un résultat très fréquent », a déclaré Garth Myers, cela « dépend de la capacité des avocats, ou du plaignant et des membres du groupe, à se mettre d’accord et à conclure une sorte d’arrangement ».

Par ailleurs, les cabinets d’avocats pourraient essayer d’empêcher les affaires des uns et des autres d’avancer en déposant des requêtes dans d’autres provinces, mais « c’est un défi, et il n’y a pas beaucoup de grands précédents en la matière », précise-t-il.

Du point de vue du défendeur, il est inefficace et coûteux d’être poursuivi par les mêmes personnes devant différents tribunaux à travers le pays. Pour cette raison, un défendeur pourrait demander au tribunal de suspendre la procédure de manière temporaire ou permanente afin de permettre à une ou plusieurs autres affaires d’aller de l’avant, explique Garth Myers. Il a ajouté que les provinces diffèrent dans leur réceptivité à ces requêtes, qui sont appelées requêtes de suspension.

« Il n’y a pas de grand plan pour gérer les questions interjuridictionnelles soulevées par l’introduction d’une multiplicité de recours collectifs à travers le Canada », nous apprend Garth Myers.

Selon Daniel Bach, les modifications apportées en 2020 à la loi ontarienne sur les recours collectifs aident à résoudre les cas de chevauchement. Plus précisément, lorsqu’une affaire arrive au stade de la certification, le tribunal peut examiner si une affaire concurrente a été certifiée dans une autre province et si la réclamation en Ontario devrait plutôt être résolue dans une autre procédure. Mais une motion de certification peut intervenir des années après l’introduction d’un recours collectif, précise-t-il.

Lorsque plusieurs plaintes sont déposées dans la même province et que les avocats ne s’entendent pas pour travailler ensemble, le tribunal décide dans une motion de transport quelle action collective concurrente sera poursuivie.

« Le tribunal applique un test multifactoriel qui se résume essentiellement à déterminer lequel de ces recours collectifs est dans le meilleur intérêt du groupe », résume Daniel Bach. Les facteurs pris en compte sont notamment le fondement de l’affaire et l’expérience des avocats. (Le Québec fait exception avec sa règle du premier à déposer).

Affaires de piratage informatique et intrusion dans la vie privée

Par ailleurs, la Cour d’appel de l’Ontario, dans une série de décisions, a « limité l’étendue de la récupération » dans les affaires de piratage de données, souligne Garth Myers.

Quelques-unes des plaintes déposées contre les sociétés de services financiers invoquent la responsabilité pour « intrusion dans la vie privée ». Mais la Cour d’appel a effectivement déclaré qu’un « défendeur de base de données » — qui détient des données personnelles et qui est piraté par un tiers — n’est pas responsable de l’intrusion dans la vie privée, nous informe Garth Myers.

« La responsabilité ne peut s’attacher qu’à une partie qui participe activement à l’accès illicite aux informations privées d’autrui », écrit Ellen Snow, associée du groupe de contentieux commercial de Clyde & Co. à Toronto, dans un article expliquant le point de vue de la Cour.

À la suite des décisions de la Cour d’appel, « je pense que nous avons constaté une diminution significative du nombre d’affaires relatives à la protection de la vie privée déposées au Canada », rapporte Garth Myers, qui qualifie l’approche de la Cour de « régressive » en ce qui concerne les informations personnelles.

« Pour l’instant, c’est la réalité à laquelle nous sommes confrontés, dit-il. Il n’y a pas de plainte automatique pour violation de la vie privée contre le défendeur d’une base de données, qui détient des informations privées, à chaque fois qu’il est piraté. »

Les autres causes contenues dans l’action sont la négligence et la violation des lois provinciales sur la protection de la vie privée.

Jusqu’à ce que les actions collectives proposées se concrétisent, les clients concernés devront se résigner à une approche attentiste.

Dans le rapport de gestion publié avec les résultats du quatrième trimestre, la société mère de Mackenzie, la Société financière IGM, a déclaré qu’elle ne s’attendait pas à ce que ces actions en justice aient un « effet négatif important » sur sa situation financière consolidée.

L’article Violation de données : qu’en est-il des recours collectifs proposés ? est apparu en premier sur Finance et Investissement.