Celui qui a été trahi par la blockchain (1/2)
Utilisées par les cybercriminels, les cryptomonnaies ont un grand défaut à leurs yeux: elles sont trop traçables.
Bonjour !
Bienvenue dans ce quatrième épisode de Pwned. Vous êtes désormais plus de 500 (humains et robots) à suivre cette newsletter, merci pour votre intérêt !
Ce week-end, on va parler un peu de cuisine, enfin de la cuisine du blanchiment. Mais tout d’abord, pour ceux qui lisent le post sur le site ou qui ont reçu ce mail par transfert, voici le lien pour vous inscrire:
Alors je vais souvent le redire souvent ici, on en a même parlé au premier épisode de Pwned, c’est dire. Contrairement à ce qu’on peut croire, le bitcoin n’est pas opaque et anonyme. C’est exactement le contraire.
On peut tous retrouver toutes les transactions de cette cryptomonnaie dans la blockchain, qui n’est rien d’autre qu’un grand registre censé être infalsifiable.
Certes, au lieu d’avoir l’identité d’une personne, on a des adresses obscures basées sur des chiffres et des lettres, en fait des sortes d’Iban. Voici par exemple une adresse très bien pourvue: 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa
Pour la petite histoire, l’adresse bitcoin est égale à l’empreinte cryptographique sur 160 bits de la clé publique associée au compte. En regard de la clé publique, il y a une clé privée, qui permet de prouver qu’on est bien le propriétaire de l’adresse.
Avec de la ténacité ou les bons logiciels, il est possible de tracer les échanges entre les adresses, et de leur attribuer un propriétaire. A ce sujet, de manière pas désintéressée, le cabinet ChainAlysis vient de publier un post très instructif sur les erreurs les plus fréquentes dans les investigations.
Soit ces transactions restent sur la blockchain, et donc on peut suivre les échanges un à un. Soit elles finissent par en sortir via une place de marché où la cryptomonnaie va être convertie en une autre valeur.
Revenons sur notre exemple précédent. On voit ainsi que le 3 novembre 0,0015 btc sont partis vers cette nouvelle adresse.
Vous me direz, on est bien avancé. Ben oui, c’est une tâche très ingrate. Un enquêteur m’a par exemple confié qu’il avait retracé sur tableau excel, clic par clic, des mouvements de bitcoin. Maintenant, il y a des sociétés spécialisées et des outils pour aller plus vite.
Cette traçabilité est un problème pour la petite portion de ceux qui utilisent le bitcoin pour acheter ou vendre des produits illégaux.
Ceux qui vendent ont besoin de blanchir leurs bitcoins. Et ceux qui achètent veulent masquer la trace de leurs achats criminels. C’est pour cela qu’il existe des services de mixeurs.
Le mixeur, c’est une sorte de boîte noire qui va recevoir des bitcoins, les séparer en fractions, les mélanger puis les renvoyer aux bénéficiaires. On ne sait plus d'où vient le bitcoin reçu. Et on ne peut plus le relier à un propriétaire.
Un rêve en termes de vie privée et un cauchemar pour les enquêteurs qui commence, pour Bitcoin Fog, en octobre 2011.
A l’époque, je travaillais alors à Lille. Le très gros dossier judiciaire de l’époque, c’était le Carlton, une affaire qui avait scellé la fin des ambitions de DSK. Au menu, du sexe et de la politique sur fond de rivalités policières. Bref, c’était explosif.
Mais bien loin de là, sur le forum Bitcoin Talk, Akemashite Omedetou (Bonne année en japonais) poste une annonce qui va passer à la postérité. Elle va d’ailleurs avoir son petit succès (à ce jour elle a été lue plus de 300 000 fois). Le titre de la conversation? “Bitcoin Fog: Secure Bitcoin Anonymization”.
C’est l’acte de naissance de Bitcoin Fog, un nouveau service de mixage de cryptomonnaie. Dans son long message, Akemashite Omedetou détaille le fonctionnement de son bébé, accessible uniquement via le logiciel de navigation Tor.
Une fois les bitcoins déposés sur sa plateforme, il faut attendre au moins une semaine pour programmer les premiers retraits. Ceux-ci seront divisés en plusieurs fractions, de façon aléatoire. “Il n'existe aucun moyen fiable d'effectuer une analyse statistique et de lier vos dépôts à vos retraits”, assure Akemashite Omedetou.
Ce dernier donne ses petites astuces: ne pas retirer le même montant que celui déposé, changer régulièrement son adresse de dépôt, et avoir également des adresses de versement différentes.
Alors oui, il existe déjà des mixeurs. Mais, assure le mystérieux internaute, ils ne sont pas assez professionnels ni sécurisés. Au contraire, lui a mis sur pied une équipe d’informaticiens assez capés.
Sans vraiment détailler, Akemashite Omedetou insiste sur sa prise en compte de la sécurité informatique et, tout simplement, de la qualité du process industriel - “on ne va pas perdre des clés privées à cause de sauvegardes mal configurées”, dit-il.
Et pour garantir la confidentialité des utilisateurs, Bitcoin Fog assure qu’il supprimera chaque semaine toutes les traces enregistrées. Un argument rappelé en creux lors de la chute de concurrents, signalée par le compte twitter du mixeur.
A noter que malgré ces explications détaillées, l’annonce de Akemashite Omedetou a été taguée comme un potentiel scam, une arnaque. Était-ce vraiment le cas? Allez, on va faire une réponse de normand. P’tet un peu, p’tet pas complètement.
Il suffit de parcourir les nombreuses pages du fil de discussion mentionné pour voir qu’il y avait visiblement des soucis techniques. Ce n’est pas si simple que ça de mettre au point cette boîte noire.
Sausage24 se plaint par exemple d’avoir un retrait marqué comme terminé sur Bitcoin Fog, sans avoir pourtant reçu ses bitcoins sur son adresse de sortie.
“Nous nous excusons profondément, il s'avère qu'il y a toujours des problèmes avec certains paiements retardés depuis la dernière maintenance, nous travaillons en ce moment pour résoudre ce problème”, lui répond Akemashite Omedetou.
D’autres messages d’utilisateurs sur la disparition de leurs bitcoins sont sans réponse. Attendez, Bitcoin Fog se serait parfois servi sur ses clients? Mais après tout, auprès de qui auriez-vous été faire une réclamation? A la Banque de France?
A demain pour la suite,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: Pour me payer une bière - par exemple une Fog You - c'est ici.