ZATAZ » Cryptomixer perquisitionné, 29 millions en bitcoins saisis

Europol, avec la Suisse et l’Allemagne, vient de faire tomber Cryptomixer, un des plus gros mixeurs de bitcoins, révélant la mécanique industrielle du blanchiment crypto.

Les autorités suisses et allemandes, appuyées par Europol, ont démantelé Cryptomixer, mixeur de bitcoins parmi les plus importants au monde, soupçonné de servir au blanchiment systématique de capitaux criminels depuis 2016. Le service, accessible à la fois sur le web classique et sur le dark web, aurait traité plus de 1,3 milliard d’euros, soit environ 1,5 milliard de dollars, principalement issus de rançongiciels, de trafic de drogue et d’armes, ou encore de fraude bancaire. Trois serveurs ont été saisis en Suisse, le domaine cryptomixer.io a été pris de contrôle, plus de 12 téraoctets de données ont été capturés, ainsi que l’équivalent d’environ 29 millions $ (près de 25,1 millions d’euros). L’opération s’inscrit dans une campagne plus large visant les mixeurs cryptos, après eXch, ChipMixer, Blender et Tornado Cash.

Un mixeur crypto au cœur du blanchiment numérique

Au centre de l’affaire, Cryptomixer jouait un rôle d’outil d’anonymisation pour tout un pan de la cybercriminalité organisée. Le service fonctionnait comme un mixeur de bitcoins : il regroupait les dépôts d’une multitude d’utilisateurs, puis renvoyait les fonds par petites tranches, à des horaires et vers des adresses aléatoires. L’objectif était de briser le lien direct entre l’adresse source et l’adresse de destination, malgré la transparence native de la blockchain bitcoin.

Europol rappelle que la plateforme a, depuis 2016, mélangé plus de 1,3 milliard d’euros, évalués à environ 1,5 milliard de dollars dans le dossier. Ce ratio implicite (1,3/1,5) correspond à un taux d’environ 0,87 euro pour 1 dollar. En appliquant cette même référence, les 29 millions $ évoqués représentent donc environ 25,1 millions d’euros, ce qui rejoint les plus de 25 millions d’euros de bitcoins mentionnés par Europol. La cohérence entre ces montants suggère que l’essentiel de la trésorerie active de Cryptomixer a été saisi.

Le service était conçu pour rendre les flux intra-chaîne extrêmement difficiles à reconstituer. Les dépôts étaient mutualisés pendant des durées volontairement longues et aléatoires, les redistributions s’effectuaient de manière échelonnée, vers des adresses de destination choisies de façon pseudorandomisée. Pour un analyste blockchain, ces mécanismes créent un bruit statistique et masquent l’origine première des fonds. Dans ce contexte, Cryptomixer devenait un maillon quasi incontournable pour des groupes de rançongiciels, des vendeurs de places de marché clandestines ou des forums d’économie souterraine.

Europol insiste sur le fait que le logiciel était spécifiquement pensé pour empêcher la traçabilité sur la blockchain, et donc pour servir de couche de blanchiment. Les profits issus du trafic de stupéfiants, de la vente d’armes, de campagnes de ransomware ou de la fraude à la carte bancaire passaient par ce type de mixeur avant d’être réinjectés dans des circuits plus visibles. La logique est simple : plus la chaîne des transactions est obfusquée en amont, plus les retraits ultérieurs, qu’ils soient en cryptomonnaies ou en monnaie fiduciaire, deviennent difficiles à relier à une activité criminelle précise.

Une fois passés par Cryptomixer, les bitcoins « nettoyés » pouvaient repartir vers des plateformes d’échange centralisées, vers d’autres cryptomonnaies ou vers des distributeurs automatiques de cryptos, avant de finir sur des comptes bancaires. L’anonymat offert par le service n’était donc pas la fin de la chaîne, mais une étape clé destinée à rendre plus sûres les conversions ultérieures en argent traditionnel. Sur le plan du renseignement, le mixeur agissait comme un tunnel entre l’économie criminelle visible sur la blockchain et des sorties en cash plus classiques.

Une opération coordonnée entre Suisse et Allemagne

L’opération s’est déroulée du 24 au 28 novembre 2025, à Zurich, dans le cadre d’une « action week » coordonnée. Les forces de l’ordre suisses et allemandes ont mené des perquisitions ciblées, avec saisie de trois serveurs en Suisse et prise de contrôle du domaine cryptomixer.io. Une bannière de saisie a été placée sur le site, procédure classique qui signale au public que l’infrastructure est désormais entre les mains des autorités.

Selon Europol, plus de 12 téraoctets de données ont été confisqués. Ces volumes incluent vraisemblablement des journaux techniques, des métadonnées de transactions internes et des informations contextuelles sur les sessions utilisateurs. Même si le service se présente comme anonyme, l’expérience montre que les opérateurs laissent souvent des points faibles opérationnels, par exemple des erreurs de configuration, des adresses IP réutilisées ou des traces de communication avec des plateformes d’échange. Sur le plan du renseignement, ces 12 téraoctets représentent un gisement pour cartographier les flux, corréler des adresses blockchain et remonter vers des acteurs humains.

Les autorités ont également saisi plus de 29 millions $ en bitcoins. En reprenant le taux implicite donné par l’équivalence 1,3 milliard d’euros / 1,5 milliard de dollars, ces 29 millions $ correspondent à environ 25,1 millions d’euros. Europol indique d’ailleurs que plus de 25 millions d’euros en bitcoins ont été confisqués, ce qui confirme la cohérence des ordres de grandeur. Cette précision est importante car elle mesure la capacité des États à frapper non seulement l’infrastructure, mais aussi la trésorerie au cœur des services de mixage.

L’action a mobilisé plusieurs niveaux de coopération. Côté allemand, le Bundeskriminalamt (office fédéral de police criminelle) et le parquet général de Francfort, via son Cyber Crime Centre, ont été impliqués. En Suisse, la police municipale de Zurich, la police cantonale de Zurich et le ministère public de Zurich ont participé. Europol a joué un rôle de hub, via le Joint Cybercrime Action Taskforce (J-CAT) basé à La Haye, en facilitant les échanges d’informations, en abritant les réunions opérationnelles et en fournissant une assistance médico-légale sur place le jour de l’action. Eurojust et la plateforme EMPACT, dédiée aux menaces criminelles majeures pour l’Union européenne, ont également été associés à l’opération, ce qui souligne la dimension transfrontalière du dossier.

Sur le terrain, le soutien d’Europol a pris la forme d’une coordination entre les partenaires, mais aussi d’un appui technique direct. Les experts en cybercriminalité de l’agence ont accompagné la saisie et l’analyse des serveurs. D’un point de vue renseignement, cette présence permet de standardiser la collecte de preuves, d’anticiper les besoins des analyses blockchain ultérieures et de préparer d’éventuelles procédures conjointes avec d’autres États membres.

Vers une offensive structurée contre les services de mixage

Le cas Cryptomixer ne surgit pas dans le vide. Il s’inscrit dans une série d’actions visant à affaiblir l’écosystème des mixeurs cryptos utilisés par les cybercriminels. En mai, la police allemande a démantelé l’infrastructure d’eXch, avec la saisie de plus de 30 millions $ en cryptomonnaies. En appliquant le même taux implicite que précédemment, ces 30 millions $ représentent environ 26 millions d’euros (30 × 0,87). L’année précédente, les autorités allemandes et américaines avaient déjà pris le contrôle de quatre serveurs liés à ChipMixer, et confisqué environ 46,5 millions $ en bitcoins, soit approximativement 40,3 millions d’euros en reprenant la même méthode de conversion.

En parallèle, le département du Trésor américain a déplacé la pression sur le terrain des sanctions. Blender.io a été désigné en 2022, puis Tornado Cash plus tard la même année. Là où la saisie de serveurs et de domaines vise directement les opérateurs d’un service donné, la logique des sanctions élargit le spectre : elle pèse sur tout acteur qui interagit avec ces plateformes, qu’il s’agisse d’entités financières, de bourses crypto ou de prestataires techniques. Pour les enquêteurs, ces outils complémentaires permettent de rendre plus coûteux – et plus risqué – le maintien d’un mixeur dédié à des flux criminels.

L’implication répétée d’Europol dans ce type de dossiers, déjà visible en mars 2023 avec le soutien au démantèlement de ChipMixer, traduit un glissement de la lutte contre la cybercriminalité vers une approche plus systémique. Les services d’enquête ne se contentent plus de cibler des groupes de rançongiciels ou des marchés du dark web pris isolément ; ils remontent aux briques techniques réutilisées par l’ensemble de l’écosystème, comme les mixeurs, les hébergeurs bulletproof ou certains fournisseurs de services d’anonymisation. La chute de Cryptomixer illustre cette stratégie : frapper l’infrastructure partagée qui sert de lessiveuse à une multitude de groupes.

EMPACT, la plateforme européenne multidisciplinaire contre les menaces criminelles, joue dans ce contexte un rôle de cadre stratégique. En travaillant par cycles de quatre ans, centrés sur des priorités communes, elle donne une feuille de route partagée aux services nationaux, aux institutions européennes et aux partenaires internationaux. L’affaire Cryptomixer montre comment ce cadre peut se traduire concrètement : action conjointe, partage de renseignements, mutualisation des capacités techniques, focalisation sur des cibles structurantes pour l’économie criminelle.

Pour les acteurs de la cybersécurité et du renseignement financier, la saisie de 12 téraoctets de données et de plus de 25 millions d’euros en bitcoins ouvre aussi un champ d’exploitation en profondeur. Les corrélations entre flux, les liens entre adresses et plateformes, les recoupements avec d’autres dossiers – notamment eXch, ChipMixer, Blender.io ou Tornado Cash – peuvent aider à dresser une cartographie plus précise des réseaux de blanchiment crypto. À terme, ces cartes nourrissent les outils d’analyse prédictive, renforcent les filtres de conformité des plateformes d’échange et alimentent les dossiers judiciaires contre les acteurs clés de la criminalité numérique.