Rapport d'analyse de l'affaire de délit d'initié de Polymarket impliquant un ingénieur de Google

I. Résumé de l'événement

Le 27 mai 2026, le bureau du procureur du district sud de New York du ministère américain de la Justice et la Commodity Futures Trading Commission (CFTC) ont respectivement divulgué que Michele Spagnuolo, ingénieur logiciel chez Google, était accusé d'avoir utilisé des données non publiques « Year in Search 2025 » accessibles via les systèmes internes de Google pour effectuer des transactions sur des contrats liés à des événements sur la plateforme de marché prédictif Polymarket, et d'avoir réalisé un profit d'environ 1,2 million de dollars avec le compte « AlphaRaccoon ».

Cet incident ne constitue pas une attaque classique de contrat intelligent ou un vol d’actifs sur la blockchain, mais plutôt un exemple typique d’« incident de sécurité informationnelle » dans un marché prédictif Web3. Le risque central réside dans le fait que : la plateforme lie ses transactions à des résultats d’événements du monde réel, et si certains résultats dépendent d’informations non publiques détenues par des entreprises, gouvernements, armées, médias ou organisations sportives, des employés internes pourraient profiter de ces informations avant leur divulgation pour réaliser des profits via le marché prédictif, compromettant ainsi l’équité du marché et le mécanisme de découverte des prix.

Ce cas est important car il étend la problématique de sécurité Web3, qui était traditionnellement centrée sur « vulnérabilités de code, vol de clés privées, attaques de contrats », à quatre niveaux : « abus d’informations non publiques, gouvernance des accès employés, surveillance des transactions on-chain, régulation des marchés prédictifs ». Il montre que, même avec la transparence inhérente à la blockchain, il est impossible d’empêcher totalement le délit d’initié ; les données on-chain jouent surtout un rôle dans le suivi, l’enquête et la preuve après coup.

II. Contexte de l’événement

L’accusé Michele Spagnuolo est ingénieur logiciel chez Google, résident en Suisse. Le ministère a révélé qu’il était accusé de violations de la « Commodity Exchange Act », de fraude télécom et de blanchiment d’argent. La violation de la loi sur les échanges de marchandises peut entraîner jusqu’à 10 ans de prison, la fraude télécom jusqu’à 20 ans, et le blanchiment jusqu’à 20 ans. La CFTC a également lancé une action civile demandant une injonction permanente, la restitution des gains illicites, l’indemnisation des victimes et une amende civile.

Selon l’accusation, Spagnuolo pouvait accéder via des outils internes de Google à des données non publiques « Year in Search 2025 » identifiées comme « Confidentiel Google ». Le classement annuel des tendances de recherche de Google a une valeur commerciale, car sa publication publique attire l’attention des utilisateurs, des médias, valorise la marque et génère des revenus publicitaires. Par conséquent, ces classements avant leur publication officielle constituent une information non publique à valeur commerciale.

Polymarket est une plateforme de marché prédictif où les utilisateurs achètent et vendent des parts « OUI/NON » sur des événements futurs. Le prix de ces parts varie généralement entre 0 et 1 dollar, reflétant la probabilité estimée de l’événement. Par exemple, une part « OUI » à 0,30 dollar indique une estimation d’environ 30 % de chance que l’événement se réalise. Si l’événement se produit, la part correcte est réglée à 1 dollar, sinon elle devient nulle.

Dans cette affaire, des marchés liés au classement « Year in Search 2025 » de Google ont été créés, tels que « quelqu’un sera-t-il le numéro 1 des recherches Google en 2025 » ou « quelqu’un entrera-t-il dans le top 5 des recherches en 2025 ». Étant donné que ces résultats dépendent des données officielles de Google, que ses employés internes pourraient connaître à l’avance, ces marchés présentent un risque inhérent d’initié.

III. Chronologie clé

1. Environ mai 2024 : création du compte AlphaRaccoon

Les documents judiciaires indiquent qu’un compte Polymarket utilisant le nom « AlphaRaccoon » a été créé vers mai 2024. Ce compte a ensuite été utilisé pour trader sur des marchés liés à Google Year in Search.

2. Octobre 2025 : lancement des marchés liés aux tendances de recherche Google

En octobre 2025, Polymarket a commencé à proposer des contrats binaires liés au classement des tendances de recherche Google 2025, tels que « qui sera le premier en recherche Google en 2025 » ou « qui entrera dans le top 5 en 2025 ». La clôture de ces marchés dépend des résultats officiels publiés par Google.

3. Du 15 octobre au 4 décembre 2025 : début des transactions concentrées par l’accusé

Le ministère indique que, entre le 15 octobre et le 4 décembre 2025, Spagnuolo a investi environ 2,754 millions de dollars via le compte AlphaRaccoon dans plusieurs marchés liés à Google Year in Search, en pariant sur divers résultats. La CFTC affirme qu’il a acheté des parts « OUI » ou « NON » dans au moins 23 contrats, avec une précision quasi parfaite dans ses prédictions.

4. 27 novembre 2025 : étape critique de transaction

Les documents montrent que Spagnuolo aurait accédé à nouveau aux données internes Year in Search de Google le 27 novembre 2025. À ce moment, les résultats internes indiquaient que d4vd avait remplacé Kendrick Lamar comme le « numéro 1 » de Google Search 2025. Environ trois heures plus tard, le compte AlphaRaccoon a parié sur d4vd dans le top 5 et sur sa victoire en premier. Étant donné que la probabilité que d4vd soit le premier était proche de zéro, ces transactions, si elles étaient correctes, auraient généré des gains très élevés.

5. 4 décembre 2025 : publication officielle des résultats Year in Search par Google

Le 4 décembre 2025, Google a publié ses résultats Year in Search. Les marchés correspondants sur Polymarket ont été clôturés. La police affirme que le compte AlphaRaccoon a réalisé un profit d’environ 1,2 million de dollars sur ces transactions.

6. Après décembre 2025 : transfert de fonds et dissimulation d’identité

Les documents indiquent qu’après la clôture des marchés, le compte AlphaRaccoon a reçu environ 3,914 millions de USDC.e, puis a transféré environ 5,045 millions de USDC.e vers un portefeuille cryptographique. Par la suite, ces fonds ont été transférés, échangés, et traités via des services cryptographiques à confidentialité renforcée. La police ajoute que, suite à des discussions sur les réseaux sociaux et Discord suggérant que AlphaRaccoon pourrait être un employé de Google, le compte a supprimé le nom d’utilisateur « AlphaRaccoon » pour revenir à une adresse de portefeuille alphanumérique.

IV. Analyse de la structure des transactions et de la logique de profit

La logique de cet incident n’est pas complexe, mais ses risques sont très typiques.

Premièrement, le prix sur le marché prédictif reflète essentiellement une « probabilité de marché ». Lorsqu’aucune information précise n’est disponible, certains événements à faible probabilité sont sous-évalués. Par exemple, la probabilité que d4vd soit le premier en recherche Google en 2025 est proche de zéro, mais si une personne connaît cette information en interne, elle peut acheter à bas prix des parts « OUI » et attendre la publication officielle pour encaisser à 1 dollar.

Deuxièmement, la méthodologie de Google Year in Search ne se limite pas à « volume de recherche le plus élevé », mais privilégie « croissance de l’intérêt de recherche » ou « tendance annuelle forte ». Cela signifie que même si le public sait qu’un certain personnage est très recherché, il ne peut pas forcément prédire avec précision le classement final. Ceux qui maîtrisent la logique algorithmique interne et les données internes ont un avantage informationnel plus fort.

Troisièmement, le compte AlphaRaccoon ne se limite pas à parier sur un événement à très faible probabilité. Selon les documents, il a également massivement parié que certains personnages ne seraient pas en tête ou ne figureraient pas dans le top 5, par exemple Bianca Censori, Pope Leo XIV, Donald Trump, etc. Ces transactions, bien que présentant un rendement apparemment faible, deviennent quasi sans risque si l’accusé détient effectivement l’information finale, créant une forme d’arbitrage « faible risque, haute certitude ».

Quatrièmement, cet incident révèle une vulnérabilité particulière des marchés prédictifs : alors que la délinquance d’initié dans la finance traditionnelle concerne principalement les données financières, les fusions, les résultats d’entreprises, la réglementation, etc., les marchés prédictifs peuvent financièrement instrumenter tout événement du monde réel. La source d’informations privilégiées s’étend ainsi des entreprises cotées aux moteurs de recherche, gouvernements, armées, tribunaux, médias, fournisseurs de données, opérateurs de plateformes et grandes entreprises internet.

V. Nature de l’affaire : ce n’est pas une « attaque par hacking », mais une « utilisation abusive de droits d’accès à l’information »

Du point de vue de la sécurité Web3, cette affaire ne concerne pas une vulnérabilité de contrat intelligent, une attaque de pont cross-chain, un vol de clés privées ou une attaque sur un protocole on-chain. Elle s’apparente plutôt à un « incident de sécurité basé sur l’abus de droits d’accès à l’information ».

Sa chaîne de sécurité peut être décomposée ainsi :

Accès interne aux données

→ Obtention de résultats non publics

→ Ouverture de positions sur le marché prédictif on-chain ou quasi-on-chain

→ Attente de la publication officielle

→ Règlement et profit

→ Transfert, échange, anonymisation

→ Détection communautaire d’anomalies et intervention réglementaire

Ce processus montre que la menace pour la sécurité Web3 ne vient pas uniquement des hackers, mais aussi d’employés ou de membres internes disposant d’un accès légitime mais violant leur devoir de confiance. Les principes classiques de sécurité d’entreprise — « principe du moindre privilège, classification des données sensibles, audit d’accès, surveillance des comportements, déclaration de conflits d’intérêts » — deviennent directement liés à l’intégrité des marchés Web3.

VI. Signification réglementaire et légale

L’importance réglementaire de ce cas se manifeste principalement à trois niveaux.

Premier, les autorités réglementaires considèrent désormais les marchés prédictifs comme de véritables marchés financiers, et non plus comme de simples jeux de hasard. La plainte de la CFTC qualifie ces contrats d’échange (swap) et estime que l’utilisation d’informations non publiques influence le prix de ces contrats, constituant ainsi une information majeure impactant le marché.

Deuxièmement, le ministère étend la logique de poursuite pour délit d’initié aux marchés prédictifs. La réglementation classique cible principalement les marchés de valeurs mobilières et de futures, mais cet incident montre que tout trader utilisant des informations confidentielles pour réaliser des profits sur des contrats d’événements peut être poursuivi pour fraude, fraude télécom ou blanchiment.

Troisièmement, ce cas renforce le signal que « les marchés prédictifs ne sont pas un refuge contre l’initié » en matière de régulation. En avril 2026, le ministère américain de la Justice a déjà révélé une affaire où un personnel militaire a profité d’informations classifiées pour parier sur Polymarket. Ce cas, impliquant un employé d’une entreprise technologique, montre que le périmètre de risque s’étend des données de sécurité nationale aux données commerciales et aux plateformes.

VII. Impact sur Polymarket

Ce cas a un double impact sur Polymarket.

D’une part, il accroît la méfiance extérieure quant au risque d’initié dans les marchés prédictifs. La force de ces marchés réside dans leur capacité à transformer des informations dispersées en signaux de prix, mais si ces signaux proviennent principalement d’un petit nombre d’employés internes disposant d’informations non publiques, la « sagesse collective » peut se transformer en « arbitrage d’initié ». Cela pourrait miner la confiance des participants ordinaires dans l’équité du marché.

D’autre part, Polymarket peut aussi interpréter ce cas comme une illustration de la transparence on-chain et de la coopération réglementaire. Des médias comme Reuters, Axios ou The Verge mentionnent que Polymarket affirme coopérer avec les autorités et souligne que la blockchain offre une transparence et une traçabilité. Autrement dit, la transparence Web3 ne peut pas empêcher totalement les transactions illicites, mais elle facilite le suivi, l’analyse des flux financiers et la coopération avec les autorités.

Cependant, la plateforme doit faire face à une question plus fondamentale : si un marché dépend fortement de données internes d’une institution spécifique, doit-elle réaliser une « évaluation des risques d’informations privilégiées » avant d’ouvrir le marché ? Par exemple, les classements de recherche Google, les annonces internes, les sanctions sportives, les actions gouvernementales, les décisions réglementaires, les verdicts judiciaires ou les résultats de prix non encore publiés peuvent contenir des informations hautement sensibles.

VIII. Impact sur Google

De la perspective de Google, cet incident montre que la gouvernance de la sécurité des données internes ne doit pas se limiter à « prévenir les fuites » ou « empêcher l’accès par des concurrents », mais doit aussi considérer le nouveau risque d’« employés utilisant des données internes pour trader sur des marchés externes ».

Les données « Year in Search » ont une valeur marketing, de marque et de confidentialité commerciale avant leur publication. Même si ces données ne relèvent pas des états financiers, leur capacité à influencer les résultats des contrats prédictifs en fait une ressource échangeable. En d’autres termes, l’existence de marchés prédictifs modifie la nature du risque des données internes : ce qui était autrefois réservé à la communication et au marketing peut désormais devenir un actif financier.

Les entreprises doivent donc redéfinir la portée de « l’information non publique majeure ». Pour les grandes entreprises technologiques, cela inclut désormais les tendances de recherche, les lancements de produits, les classements, les rapports annuels, les données d’audience, etc., qui peuvent être instrumentalisés dans des marchés financiers.

IX. Matrice des risques clés

X. Recommandations de gouvernance

1. Recommandations pour les plateformes Web3 de marché prédictif

Premier, instaurer un mécanisme d’« évaluation des risques d’informations privilégiées » avant le lancement d’un marché. La plateforme doit identifier quels résultats sont contrôlés ou connus à l’avance par un petit groupe, comme les classements d’entreprises, les actions gouvernementales, les décisions judiciaires, les sanctions sportives, ou les résultats de prix non encore publiés. Pour ces marchés à haut risque, il faut limiter les positions, retarder leur ouverture, renforcer la surveillance ou refuser leur création.

Deuxièmement, développer un modèle de détection des transactions anormales. Surveiller notamment : des flux importants dans des marchés peu liquides ; des transactions unilatérales proches de la clôture ; des portefeuilles nouveaux ou peu actifs concentrant des mises ; des stratégies de trading qui dévient fortement des probabilités publiques mais s’avèrent très précises ; ou des résultats systématiques « quasi parfaits » dans plusieurs marchés liés.

Troisièmement, renforcer le KYC, le clustering de portefeuilles et le suivi des flux financiers. La plateforme ne doit pas se limiter à l’identification par adresse, mais utiliser l’analyse on-chain, le comportement transactionnel, l’origine des fonds, l’empreinte device, et la détection d’alertes pour repérer les acteurs à risque.

Quatrièmement, introduire une liste de personnes à restrictions. Pour certains marchés, la plateforme peut exiger que les sources d’informations, les partenaires, les contractants gouvernementaux, les membres de fédérations sportives ou les médias ne participent pas ou déclarent leur participation.

Cinquièmement, établir une procédure de gel rapide et de coopération avec les autorités. En cas de suspicion d’initié, la plateforme doit pouvoir geler les comptes, conserver des preuves, signaler aux régulateurs et coopérer avec l’enquête.

2. Recommandations pour la sécurité et la conformité internes des entreprises

Premier, intégrer les marchés prédictifs, la crypto et les contrats événementiels dans le code de conduite des employés. Il ne suffit pas d’interdire l’utilisation d’informations privilégiées pour trader en bourse, mais aussi d’interdire l’utilisation de données internes pour trader sur Polymarket, Kalshi ou autres plateformes.

Deuxièmement, renforcer le contrôle d’accès aux données sensibles. Les données à valeur transactionnelle externe — classements, lancements, tendances, statistiques internes, résultats de modèles — doivent faire l’objet d’un accès minimal, d’approbations, d’un suivi des accès et d’alertes en cas de requêtes anormales.

Troisièmement, établir une « évaluation de la tradabilité des données sensibles ». Les entreprises doivent régulièrement analyser quelles données internes peuvent être exploitées dans des marchés financiers externes, et les classer comme informations non publiques majeures si leur divulgation pourrait entraîner une utilisation financière.

Quatrièmement, renforcer la formation à la conformité des employés. La formation doit couvrir l’initiéisme, le blanchiment crypto, la traçabilité on-chain, les obligations de confidentialité, et les risques pénaux. Les ingénieurs, agents de sécurité, analystes, chefs de produit et équipes marketing ayant accès à des données sensibles doivent suivre une formation renforcée.

Cinquièmement, mettre en place un suivi des logs d’accès et des investigations croisées avec des indices d’échanges externes. Lorsqu’une activité suspecte est détectée, il faut analyser conjointement les données on-chain, les fuites sur réseaux sociaux ou plateformes, pour détecter d’éventuels abus.

3. Recommandations pour les autorités réglementaires

Premier, clarifier la nature juridique et la portée réglementaire des contrats d’événements. Les marchés prédictifs évoluent dans une zone grise entre produits financiers, jeux de hasard, marchés d’expression et marchés d’informations. Il faut définir quels contrats relèvent de la compétence de la CFTC, des régulateurs locaux ou nécessitent des règles supplémentaires.

Deuxièmement, promouvoir l’établissement de standards d’intégrité de marché. La régulation doit couvrir non seulement l’enregistrement et la licence, mais aussi la détection de délit d’initié, la gestion des acteurs à restrictions, la déclaration des transactions suspectes, la conformité KYC/AML, la conservation des données, la protection des clients et la prévention de manipulation.

Troisièmement, instaurer une coopération inter-agences. Les marchés prédictifs peuvent impliquer des enjeux de valeurs mobilières, de produits dérivés, de crypto, de sécurité nationale, de secrets commerciaux ou de sécurité des données. La coordination entre la CFTC, le ministère de la Justice, la SEC, FinCEN, les régulateurs locaux et les entreprises est essentielle.