Relaxe des hackers de Platypus : le droit pénal impuissant ?

04.12.2023
Relaxe des hackers de Platypus : le droit pénal impuissant ?
Demandez à UNE IA DE RÉSUMER CET ARTICLE

Le 1er décembre 2023, le tribunal judiciaire de Paris a relaxé les suspects du hack du protocole Platypus Finance. Pour l’avocat Victor Charpiat (Kramer Levin), cette décision est contestable pour plusieurs raisons, et notamment parce qu’elle assimile des “smart contrats” à des contrats classiques.

Vous avez atteint votre limite de 2 articles gratuits ce mois-ci

La recherche que vos pairs exploitent déjà

The Big Whale donne aux institutions financières la market intelligence, le réseau, et la plateforme pour naviguer avec confiance dans les actifs numériques.
Choisi par plus de 150 institutions financières.

Le 1er décembre 2023, le tribunal judiciaire de Paris a relaxé les deux suspects du hack de la plateforme de finance décentralisée Platypus.

Rappelons d’abord le contexte : en février 2023, le protocole Platypus Finance a été victime d’un hack. Le hacker a récupéré environ 8,5M$ en stablecoins. (Ce post décrit les détails techniques.)

L’attaque visait le stablecoin USP : via un “flash loan”, le hacker a pu déposer du collatéral, emprunter des USP, puis retirer son collatéral en utilisant une fonction de retrait défaillante.

Le hacker ayant fait preuve d’un amateurisme surprenant, des indices ont rapidement permis de retrouver son identité, grâce au travail d’enquêteurs on-chain comme ZachXBT et à l’assistance de Binance. Il a été arrêté quelques jours plus tard par la Police Nationale.

Lors du procès, le procureur a requis cinq ans de prison, dont deux ferme pour, notamment, escroquerie et blanchiment.

Mais, face à l’habile défense des prévenus, le tribunal n’a pas retenu la qualification d’escroquerie, n’étant pas en mesure de démontrer l’existence de manœuvres frauduleuses ou d’une tromperie. L’escroquerie n’étant pas retenue, le blanchiment ne peut pas non plus être établi. Le hacker ressort donc libre comme l’air.

Selon les informations du Monde, le tribunal a quand même eu la délicatesse d’informer le hacker que la relaxe n’est pas un “blanc-seing”, mais simplement la conséquence du fait que “les charges ne tiennent pas sur le plan pénal”.

Et le juge renvoie à une possible action au civil – comme seule option accessible au protocole pour obtenir réparation. “Vous avez tout de même une dette liée au prêt, et Platypus va probablement se retourner contre vous au civil…”

Cette décision est surprenante, préoccupante, et même dangereuse – pour deux raisons.

Un droit pénal inadapté

D’abord, le juge explique en substance que le droit pénal français, dans sa rédaction actuelle, est impuissant. Les qualifications pénales ne sont pas adaptées aux hacks ou attaques de protocoles de finance décentralisée (DeFi). Quand bien même l’intention frauduleuse est évidente, le juge ne peut pas condamner.

Il ne faut pas oublier, bien sûr, que la loi pénale est d’interprétation stricte.

Il n’en reste pas moins qu’une telle décision donne l’impression qu’en France, les hackers sont protégés par la justice. Elle a déjà suscité des centaines de réactions ironiques sur les réseaux sociaux, entre comparaisons avec la Corée du Nord (connue pour sponsoriser le groupe de hackers Lazarus) et appels au déménagement en France pour les wannabes cybercriminels.

Surtout, cette décision servira d’argument supplémentaire à ceux qui expliquent que la DeFi est hors-la-loi, et doit donc être réglementée au plus vite.

Un Smart contract n’est pas un contrat

Ensuite, le juge semble avoir été convaincu par une certaine déclinaison du fameux principe “Code is Law”. Comment, autrement, comprendre la référence au prêt et à la dette dont le hacker resterait redevable à l’égard du protocole ?

Il semble bien que le juge a écarté certaines qualifications pénales (notamment le vol et l’escroquerie) au motif que l’interaction du hacker avec le smart contract aurait formé un “contrat”. En l’occurrence, un contrat de prêt.

Le hacker, vu comme l’emprunteur des fonds hackés, ne peut donc être ni un escroc ni un voleur. En suivant cette logique juridique, on en conclut même que les fonds hackés lui appartiennent, à charge pour lui de les rembourser. Le fait de présupposer l’existence d’une relation contractuelle écarterait donc tout constat d’une infraction.

Cette interprétation est dangereuse et contestable. Clairement, le juge s’est laissé abuser par le discours de la défense, qui a opportunément joué sur l’amalgame sémantique entre smart contract et contrat. “Code is law”, en somme. Or, un smart contract n’est pas un contrat, c’est un simple programme informatique qui peut, selon le cas, être le support ou l’instrument d’une relation contractuelle.

Et, à supposer qu’un contrat ait effectivement été formé entre le hacker et le protocole, pourquoi s’arrêter là et ne pas chercher à le contester ? Ce contrat était-il valide ? Sa formation n’était-elle pas entachée d’une cause de nullité ? (Au hasard… la fraude ?)

Là aussi, le Crypto Twitter anglophone ne s’y est pas trompé et ironise sur la reconnaissance du “Code est la loi”. Quoi qu’il en soit, même si elle est inversée en appel, cette décision risque d’ores et déjà d’induire en erreur de nombreux acteurs.

Pour terminer, ne généralisons pas trop vite cette décision du tribunal judiciaire de Paris. Il ne s’agit que d’une décision de première instance, et rien ne dit qu’elle fera jurisprudence. Il est encore possible pour le parquet de faire appel.

Pour un avocat, encourager un procureur à faire appel et appeler à une sanction plus stricte est difficile, presque contre nature… Mais, cette fois, il faut faire une exception : dans l’intérêt de l’écosystème crypto dans son ensemble, il est crucial que cette décision soit frappée d’appel. Il est crucial qu’une cour d’appel confirme cette évidence : oui, le hack de protocole de finance décentralisée est interdit par la loi pénale.

Format
Tribunes
Victor Charpiat

Victor Charpiat est Head of Legal & Compliance chez Spiko, une société de services financiers basée à Paris qui propose des produits de placement de trésorerie rémunérés quotidiennement. Il occupe ce poste depuis janvier 2025. Spiko a été fondée en 2023 et a levé un total de 25,8 millions de dollars.

Avant de rejoindre Spiko, Charpiat a passé plus de six ans au bureau parisien de Kramer Levin Naftalis & Frankel LLP, où il exerçait comme associate spécialisé dans les fintech, les cryptomonnaies et les sujets liés au statut de PSAN (Prestataire de Services sur Actifs Numériques). Entre janvier 2022 et janvier 2023, il a fondé Kolat, une société de services financiers basée en région parisienne. Avant Kramer Levin, il a travaillé chez Sullivan & Cromwell LLP à Paris d’avril 2017 à octobre 2018 au sein du groupe corporate general practice, après y avoir effectué son stage final plus tôt la même année. Il a également effectué un stage en legal tech chez 11.100.34 Avocats Associés fin 2016. Il est diplômé en droit de Sciences Po Paris et de l’Université Paris II-Panthéon Assas.

See all articles ↗
Abonnez-vous à The Drop
Le briefing hebdomadaire de référence sur les actifs numériques pour les institutions financières : analyses indépendantes, rapports, benchmarks et événements exclusifs, directement dans votre boîte mail.
Lu par 30 000 professionnels
12-13 novembre 2026

The Geneva Summit

Le Corporate Gateway : là où l'avenir de la finance onchain se décide.
300 décideurs triés sur le volet.
300
Décideurs
2 jours
Programme complet