Comment un détenteur d'actifs $61 millions a fait face à une peine de prison prolongée pour restitution cryptographique impayée

L’affaire de Nicholas Truglia rappelle de manière saisissante les conséquences qui attendent ceux qui commettent une fraude en cryptomonnaie, en particulier lorsqu’ils tentent d’éviter la restitution ordonnée par la justice. Ce qui a commencé par une peine de 18 mois en 2022 a rapidement escaladé pour atteindre une peine de 12 ans de prison, le juge Alvin Hellerstein soulignant le 2 juillet que les actifs financiers n’offrent aucune échappatoire à la responsabilité judiciaire.

L’attaque par échange de SIM qui a tout déclenché

L’activité criminelle de Truglia était centrée sur une exploitation sophistiquée de la sécurité mobile connue sous le nom de swap de SIM. La technique consiste à convaincre les opérateurs télécom de transférer le numéro de téléphone d’une victime vers une carte SIM différente sous le contrôle du fraudeur. Une fois réalisée, le fraudeur accède aux codes d’authentification à deux facteurs envoyés au numéro compromis, contournant ainsi les mesures de sécurité sur les plateformes de cryptomonnaie, les banques et les comptes email.

En 2018, Truglia a utilisé cette tactique contre Michael Terpin, un entrepreneur crypto de renom et PDG de Transform Group opérant dans la région de San Francisco en Californie. L’attaque s’est avérée dévastatrice — Terpin a perdu $24 million en cryptomonnaie avant de découvrir la brèche.

La condamnation et la première peine

Truglia a été reconnu coupable de fraude par virement pour avoir orchestré cette attaque. Sa peine initiale comprenait 18 mois d’incarcération plus trois ans de libération supervisée, ainsi qu’une restitution dépassant $20 million due à Terpin. Cependant, le système judiciaire a rapidement découvert que Truglia n’avait aucune intention de respecter cette dette.

Lorsque les actifs ne suffisent pas à garantir la responsabilité

Le moment critique est arrivé lors de l’examen judiciaire de la conformité de Truglia aux ordres de restitution. Les dossiers du tribunal ont révélé que Truglia possédait des actifs évalués à environ $61 million — plus de trois fois ses obligations de restitution. Pourtant, malgré cette richesse considérable, il n’a effectué aucun paiement à sa victime. Plutôt que de tenter de payer, Truglia a engagé des tactiques d’évasion destinées à frustrer les efforts de la police et de la justice pour recouvrer les fonds.

La peine renforcée du juge Hellerstein reflète ce mépris pour les ordres du tribunal. La peine de 12 ans constitue à la fois une punition pour la fraude initiale et un mécanisme d’application pour la restitution.

Les suites civiles

Terpin a poursuivi la responsabilité supplémentaire par voie civile. Il a déposé une action en négligence de $224 million contre AT&T, son opérateur mobile, pour ne pas avoir sécurisé son compte contre le swap de SIM. Par ailleurs, une action civile de $75 million contre Truglia a abouti à une condamnation à des dommages-intérêts complets par le tribunal en 2019.

Implications plus larges pour la sécurité en crypto

L’affaire Truglia met en lumière les vulnérabilités systémiques de la sécurité des télécommunications mobiles qui menacent directement les détenteurs de cryptomonnaies. Le swap de SIM reste un vecteur d’attaque privilégié car les représentants du service client télécom privilégient souvent la rapidité à la rigueur de la vérification. Les investisseurs en cryptomonnaie, qui risquent une perte permanente de fonds en cas d’accès non autorisé à leur portefeuille, constituent des cibles particulièrement attractives.

La peine prolongée montre que les tribunaux prennent très au sérieux à la fois la fraude initiale et l’évasion ultérieure de la restitution, établissant un précédent selon lequel les ressources financières seules ne peuvent pas protéger les auteurs contre les conséquences judiciaires.