Assis avec les cyber-détectives qui traquent les criminels de crypto-monnaie





Des formes épineuses jaunes et bleues commencent à remplir un écran qui s'étend sur tout un mur dans un laboratoire de l'Imperial College de Londres. Les formes émergent de l'espace vide alors que l'affichage pulse et danse. La visualisation est hypnotique et déroutante, mais elle prend tout son sens une fois que vous réalisez ce que vous voyez. Je regarde la blockchain Bitcoin grandir devant moi.

Un cercle bleu en lambeaux apparaît et William Knottenbelt, chercheur au collège, fournit des commentaires en direct. Ici, vous voyez quelqu'un prendre Bitcoin puis le payer à des milliers d'autres personnes, dit-il.

Le problème de la blockchain

Cette histoire faisait partie de notre numéro de mai 2018



  • Voir la suite du problème
  • S'abonner

Il pourrait donc s'agir d'un pool minier qui verse des récompenses aux personnes qui ont contribué à trouver des blocs. Il désigne un curieux groupe de formes sur l'écran.

Ah, cette structure ici est intéressante, dit Knottenbelt. Plusieurs cercles bleus apparaissent - plus de paiements sur plusieurs comptes - mais ils sont reliés par une hachure croisée de lignes jaunes. On dirait que quelqu'un a gribouillé sur l'écran avec un Sharpie.

Ce que Knottenbelt vient de remarquer pourrait être la première preuve d'un criminel sophistiqué au travail.



Une industrie a vu le jour pour aider à riposter. De nouveaux outils médico-légaux permettent aux autorités de suivre l'argent via des réseaux de crypto-monnaie qui s'avèrent beaucoup moins privés que ne l'espéraient leurs fondateurs. Tout comme les caméras en circuit fermé ont transformé les voleurs de banque de criminels célèbres en rubis faciles à attraper, les chercheurs espèrent que leurs avancées pourront transformer des voleurs anonymes en prisonniers connus et rendre le monde de la crypto-monnaie sûr pour le client moyen.

Les opportunités de la cryptocriminalité

Si vous ne faites rien de bon, les crypto-monnaies cochent beaucoup de cases. La seule chose qui vous lie à un compte Bitcoin ou Ethereum ou NEM ou mille autres systèmes de crypto-monnaie est une adresse, généralement une chaîne aléatoire de lettres et de chiffres. Vous pouvez avoir autant d'adresses que vous le souhaitez, et en principe, il n'y a aucun moyen évident de les lier ensemble ou d'identifier leurs propriétaires. De plus, l'argent de ces comptes peut être transféré sans intermédiaires et au-delà des frontières internationales aussi facilement que l'envoi d'un e-mail.

Au lieu de vous rencontrer dans un parking sombre pour vous remettre une valise d'argent, je peux être assis avec un ordinateur portable sur un balcon à Monaco, déclare Jeffrey Robinson, journaliste d'investigation et auteur de 30 livres sur la criminalité financière, dont BitCon : la vérité nue sur Bitcoin .



William Knottenbelt, chercheur à l'Imperial College de Londres, déclare : Je ne pense pas que l'interdiction de quoi que ce soit va aider qui que ce soit. Thomas Angus, Imperial College de Londres

Les criminels intelligents saisissent les nouvelles opportunités. Une étude réalisée en 2018 par la start-up d'analyse de blockchain Elliptic et le Center on Sanctions and Illicit Finance, un groupe de réflexion américain, a constaté une multiplication par cinq du nombre d'opérations illégales à grande échelle travaillant sur la blockchain Bitcoin entre 2013 et 2016. En analysant l'histoire de plus de 500 000 bitcoins, ils ont identifié 102 entités criminelles, y compris des marchés du dark web, des stratagèmes de Ponzi et des attaquants de ransomware, et ont montré que bon nombre des pièces de leur étude pouvaient leur être liées.

Quatre-vingt-quinze pour cent de toutes les pièces blanchies suivies par l'étude provenaient de seulement neuf marchés du dark web, dont Silk Road, Silk Road 2.0, Agora et AlphaBay. Ce sont des bazars en ligne notoires où une personne peut acheter des biens interdits comme des drogues et des armes et payer pour des services comme la prostitution ou le meurtre contre rémunération. Sur le dark web, vous pouvez même acheter des conseils juridiques, dit Robinson. Il y a des avocats là-bas qui sont prêts à prendre Bitcoin pour vous dire comment éviter de vous faire prendre avec Bitcoin.



D'autres types de crime organisé émergent également. Les pirates ont adopté Bitcoin comme moyen de paiement de choix pour les attaques de ransomwares. Ces attaques ont atteint un pic en 2016, avec près de 16 % des pièces contaminées liées à des épidémies de logiciels malveillants comme Locky. La tendance s'est poursuivie en 2017 avec WannaCry et NotPetya, qui ont pris en otage les systèmes informatiques des hôpitaux et des entreprises du monde entier. En mars de cette année, les systèmes du gouvernement municipal d'Atlanta ont été rendus inutiles par une attaque de ransomware dont les auteurs ont exigé environ 51 000 $ en Bitcoin.

La cryptocriminalité infecte même le monde hors ligne. Les derniers mois ont vu une vague de hold-up dans le monde réel au cours desquels les victimes ont été forcées de remettre les détails de leur compte sous la menace d'un couteau. Du coup, si vous avez beaucoup de crypto, vous êtes en danger physique, déclare Knottenbelt de l'Imperial College.

La cryptocriminalité infecte même le monde hors ligne. Les derniers mois ont vu une vague de hold-up dans le monde réel au cours desquels les victimes ont été forcées de remettre les détails de leur compte sous la menace d'un couteau.

Et pourtant, puisque chaque transaction Bitcoin est enregistrée dans un grand livre public distribué, les gains mal acquis peuvent être suivis. N'importe qui peut télécharger l'intégralité de l'historique des transactions de Bitcoin - qui pèse actuellement environ 160 gigaoctets - et l'examiner, ou utiliser un site Web tel que Blockchain.info ou Block Explorer pour le vérifier dans un navigateur.

Une telle analyse a aidé à démêler un braquage majeur. En 2014, Mt. Gox, alors le plus grand échange de bitcoins au monde, a été piraté par des voleurs inconnus qui ont volé 850 000 bitcoins, alors d'une valeur de plus de 450 millions de dollars.

Alors que Mt. Gox sombra dans la faillite, ses administrateurs enrôlèrent une équipe médico-légale pour aider à trouver les pièces manquantes. Ce qu'ils ont trouvé était un gâchis. Mt. Gox n'a pas compris combien de bitcoins ils devaient aux gens et combien de bitcoins ils avaient réellement jusqu'à ce qu'ils remarquent qu'ils étaient partis, dit Jonathan Levin, qui a mené l'enquête. Levin et son équipe ont finalement suivi les fonds vers un échange appelé BTC-e, où la piste s'est refroidie.

Bien qu'ils n'aient pas pu récupérer la plupart des pièces manquantes, cette enquête nous a donné l'idée de développer un outil que d'autres personnes pourraient utiliser, dit Levin. Sa société Chainalysis, née de cet effort, construit des outils pour les entreprises de bitcoin souhaitant mieux comprendre leurs clients et pour les forces de l'ordre à la recherche de criminels. D'autres sociétés, comme Block Seer et Elliptic, proposent des outils et des services similaires.

Selon Tom Robinson, cofondateur et directeur des données d'Elliptic, la majorité des échanges Bitcoin dans le monde utilisent le logiciel de l'entreprise pour filtrer les transactions. Il vérifie s'ils peuvent être connectés à des portefeuilles de ransomwares, à des marchés sombres ou au vol, par exemple. Elliptic a aidé à fournir des preuves dans plusieurs affaires criminelles, dont une impliquant un homme qui a acheté des pièces pour des fusils automatiques AR-15 sur le dark web et une poignée de saisies de drogue.

Depuis la création de la société il y a cinq ans, estime Robinson, des transactions Bitcoin d'une valeur de mille milliards de dollars ont été filtrées à l'aide de son logiciel, même s'il n'y a eu qu'environ 300 milliards de dollars de transactions Bitcoin à ce jour. En effet, certaines transactions sont filtrées plusieurs fois ; Elliptic recommande à ses clients de relancer les analyses sur les transactions plus anciennes car les informations sur les comptes douteux sont constamment mises à jour. Vous devez continuer à vérifier, dit Robinson.

Robinson ne nommera pas ses clients, mais une recherche rapide sur USAspending.gov révèle qu'ils incluent la Drug Enforcement Administration des États-Unis, l'Internal Revenue Service, le FBI et Immigration and Customs. Chainalysis travaille avec ceux-ci et plus encore, y compris les régulateurs financiers comme la SEC. Chainalysis indique également qu'Europol et plus de la moitié des forces de police en Europe utilisent son logiciel.

L'intérêt du Trésor américain pour la blockchain reflète le fait que la crypto-criminalité ne se limite pas aux braquages ​​de pièces et aux marchés noirs. C'est aussi de la fraude et de l'évasion fiscale. Ce sera une année fiscale intéressante, dit Jeffrey Robinson. C'est la première fois aux États-Unis qu'ils sévissent contre les échanges de Bitcoin à des fins fiscales.

Sarah Meiklejohn et ses collègues ont développé des techniques en 2013 sur lesquelles repose une grande partie de l'analyse actuelle des crypto-monnaies. André Testa

Comment tracer l'introuvable

Une grande partie de ce que font ces entreprises s'appuie sur des techniques introduites par Sarah Meiklejohn, alors à l'Université de Californie à San Diego, et ses collègues en 2013. L'idée de base est simple. En examinant de près l'activité de la blockchain, vous pouvez repérer les comptes qui semblent appartenir au même portefeuille Bitcoin et sont donc contrôlés par la même entité. Le processus est connu sous le nom de regroupement. Plusieurs adresses initiant la même transaction peuvent commencer à ressembler à une personne ou une organisation consolidant des fonds plus petits dans un plus grand pot, par exemple. Un autre signe révélateur est le moment où la monnaie d'une transaction Bitcoin est réacheminée vers un compte différent de celui où les fonds ont commencé. Avec le temps, le chaos se résout en schémas réguliers.

Une fois que plusieurs comptes ont été associés au même propriétaire, vous pouvez essayer de déterminer qui est ce propriétaire. Lier les comptes Bitcoin à des identités réelles est possible car les informations ont tendance à fuir. Les échanges de crypto-monnaie réglementés - généralement ceux aux États-Unis ou en Europe - doivent suivre les règles de connaissance de votre client et de lutte contre le blanchiment d'argent, qui obligent les personnes à remettre une pièce d'identité avant d'utiliser leurs services. Certaines personnes sont même assez négligentes pour publier leurs adresses Bitcoin supposées privées sur des forums en ligne. Ce que les gens oublient, c'est que la blockchain n'est qu'une moitié de l'équation, dit Knottenbelt.

Chainalysis et Elliptic utilisent désormais l'apprentissage automatique pour aider les adresses de cluster. Bientôt, il pourrait même être possible pour une IA de surveiller les blockchains en temps réel.

La visualisation de données de la taille d'un mur à l'Imperial College est un pas dans cette direction. L'enchevêtrement bleu et jaune qui a attiré l'attention de Knottenbelt était un réseau de chute de pièces, une séquence de transactions délibérément conçue pour rendre plus difficile le suivi des pièces individuelles. C'est comme déposer de l'argent dans un bocal, le secouer, puis le ressortir : le montant ne change pas, mais il est difficile de dire quelle pièce était laquelle. L'effet est à peu près le même que si vous transfériez de l'argent par l'intermédiaire d'une banque dans un endroit comme les îles Caïmans, où il existe des lois strictes sur le secret bancaire.

Garder une longueur d'avance

Cependant, les gobelets ne sont pas nécessairement un signe d'activité criminelle. Certaines personnes le font simplement pour des raisons de confidentialité, dit Knottenbelt. Et dans tous les cas, il existe de meilleurs moyens pour les criminels de brouiller les pistes. Alors que les limites de la confidentialité de Bitcoin deviennent plus apparentes, les gens se tournent vers de nouvelles crypto-monnaies, comme Zcash et Monero, qui ne révèlent presque rien sur les transactions enregistrées sur leurs blockchains.

Zcash utilise une soi-disant preuve de connaissance zéro pour vérifier les transactions. Il s'agit d'un moyen mathématique de confirmer qu'une transaction a eu lieu sans révéler aucune information sur qui était impliqué ou combien a été transféré. Zcash vous permet également de rendre des pièces et d'en extraire de nouvelles, ce qui équivaut à échanger vos billets marqués contre des billets propres à la banque.

Histoire connexe Les restrictions officielles de septembre dernier ont déclenché une vague d'innovations sous le radar.

Monero, quant à lui, est en fait un grand réseau de culbutes. Lorsque vous souhaitez transférer des pièces, votre adresse est mélangée à un tas d'autres afin que personne ne puisse dire lequel a dépensé l'argent.

Zcash et Monero font certainement passer la confidentialité au niveau supérieur. Mais cela ne signifie pas qu'ils ne livreront jamais leurs secrets. Meiklejohn souligne que le comportement bâclé des utilisateurs, comme la publication de votre adresse privée dans les forums, laissera à nouveau des traces claires, tout comme avec Bitcoin.

De plus, Monero donne aux utilisateurs la possibilité d'effectuer des transactions sans pièces de monnaie obscurcissantes mélangées. Cela supprime la confidentialité de cette transaction particulière et ajoute un moyen pour les chercheurs de démêler, par un processus d'élimination, tous les mélangeurs qui incluent ensuite ces pièces. Malte Möser de l'Université de Princeton et ses collègues estiment que 62 % des entrées des transactions Monero sont vulnérables à cette analyse. Lorsque les utilisateurs de Zcash et Monero commenceront à avoir des indices d'hémorragie, Meiklejohn et Möser seront prêts.

Cependant, le plus gros problème pour les forces de l'ordre est peut-être le grand nombre d'échanges non réglementés, où les criminels peuvent effacer les traces de leur vol en blanchissant la crypto-monnaie volée dans d'autres formes de richesse. De nombreux échanges défient la réglementation par principe : les goûts de BTC-e et le service de conversion Shapeshift, par exemple, se vendent sur la promesse de ne demander aucune identification à leurs utilisateurs. Le fondateur de Shapeshift, Erik Voorhees, est particulièrement franc sur les implications politiques de la réglementation.

Le chercheur en sécurité et crypto-monnaie Ross Anderson de l'Université de Cambridge, au Royaume-Uni, affirme que ces échanges prospèrent en partie parce que les lois sont inefficaces. Le problème avec la lutte contre le blanchiment d'argent est généralement que personne ne veut que ce soit bien fait, dit-il. Si vous êtes une banque de la ville, vous ne voulez pas savoir que John Gotti est un client, et donc les banques ne toléreraient jamais une loi qui dit que quiconque finance la mafia ira en prison. Si c'est ainsi que le monde fonctionne, pourquoi les échanges cryptographiques devraient-ils être différents ?

Les banques et les sociétés financières expérimentent l'utilisation de la crypto-monnaie pour créer des systèmes de paiement plus fluides. Mais la technologie soutient également une nouvelle génération d'activités illicites, offrant de nouvelles façons de voler, de faire chanter, de commettre des fraudes et d'enfreindre les sanctions internationales.

Le cynisme d'Anderson quant à la volonté d'agir des autorités l'a amené à formuler lui-même un plan pour démanteler le système de cryptocriminalité. Il crée ce qu'il appelle une taintchain, une liste publique de bitcoins avec des liens clairs avec des activités criminelles. Ce que je vais faire, c'est publier une liste de tous les Bitcoins volés et du logiciel dont vous avez besoin pour le générer afin que chacun puisse le vérifier par lui-même, dit-il. Les échanges réfléchiraient alors à deux fois avant de gérer les pièces volées.

Même si la réglementation était plus stricte, il n'est pas certain que cela ferait une différence. Je ne pense pas que le fait d'interdire quoi que ce soit va aider qui que ce soit, dit Knottenbelt. Conduire la technologie souterraine, soutient-il, signifiera simplement que les transactions seront cachées plutôt que diffusées ouvertement sur Internet, ce qui rendra encore plus difficile pour des chercheurs comme Meiklejohn d'analyser les flux d'argent et de trouver les voleurs.

Étonnamment, Meiklejohn elle-même s'avère ne pas trop s'inquiéter de la réglementation – ou de son absence. Une fois que vous avez isolé le problème des mauvaises bourses opérant en dehors des juridictions typiques, vous avez en quelque sorte gagné, dit-elle. Prenez BTC-e, un échange basé en Russie qui était connu pour avoir pris beaucoup d'argent criminel. De nombreux opérateurs de rançongiciels semblaient utiliser presque exclusivement BTC-e. C'est également là que les fonds manquants de Mt. Gox ont été vus pour la dernière fois avant que le sentier ne disparaisse.

Mais en juillet 2017, il a été fermé. Les autorités américaines ont arrêté du personnel et saisi des ordinateurs dans l'un des centres de données de la bourse, et Alexander Vinnik, son opérateur présumé, a été arrêté. Ils n'allaient clairement pas répondre aux assignations à comparaître, dit Meiklejohn. D'un autre côté, c'est quelque chose que les forces de l'ordre savent très bien comment gérer.

Meiklejohn voit son travail comme distillant les cryptocrimes au type de crime familier aux forces de l'ordre. Armé des pistes d'Elliptic et d'autres, la bonne police à l'ancienne fera alors ce qu'elle fait le mieux.

Le plus grand cyber-braquage de l'histoire

Pour le moment, cependant, les cybercriminels ont encore une longueur d'avance. Bien que les chercheurs puissent désormais observer les vols de crypto-monnaie sur les réseaux de blockchain se produire en temps quasi réel, ils ne peuvent pas les connecter au monde réel assez rapidement pour arrêter même les câpres monumentales.

Le plus grand cyber-braquage de l'histoire s'est produit à 3 heures du matin, heure du Japon, un matin de janvier de cette année. Quelqu'un, ou plus probablement quelqu'un, s'est emparé de plus d'un demi-milliard de dollars d'une monnaie numérique appelée NEM de l'échange de crypto-monnaie Coincheck basé à Tokyo. Personne à l'échange n'a sonné l'alarme jusqu'à l'heure du déjeuner, et les coupables ont eu huit heures d'avance.

Lorsque la nouvelle est finalement parvenue au vice-président de la Fondation NEM, Jeff McDonald à Tulsa, Oklahoma, il est allé directement à la chaîne. Les fonds avaient été prélevés sur un portefeuille logiciel connecté à Internet, un casier de stockage non sécurisé que Coincheck affirme n'utiliser qu'en raison d'une défaillance ailleurs dans son système. C'est comme si vous laissiez votre carte de guichet automatique avec le code PIN écrit dessus, explique Alexandra Tinsman, directrice des communications de la Fondation NEM. Toutes les 523 millions de pièces volées ont d'abord été acheminées vers un seul compte avant d'être réparties entre plusieurs autres.

Pour empêcher les voleurs d'encaisser leur butin dans une monnaie fiduciaire, l'équipe NEM s'est précipitée pour signaler les pièces volées et mettre les échanges en alerte. Le lendemain du piratage, l'équipe NEM avait identifié et publié les adresses de 11 comptes où les fonds avaient abouti. Chacun était étiqueté avec une étiquette indiquant coincheck_stolen_funds_do_not_accept_trades : owner_of_this_account_is_hacker. Mais parce qu'ils ne savaient pas à qui appartenaient les comptes, l'équipe NEM n'a pas pu faire beaucoup plus que tenter de bloquer les sorties.

Un jeu d'attente s'ensuivit. Incapables dans un premier temps d'encaisser les pièces volées du réseau NEM, les voleurs les ont déplacés autour de celui-ci. Ces mouvements étaient tous visibles sur la blockchain publique. L'équipe NEM a suivi les pièces jusqu'au Canada, puis a observé que certaines d'entre elles retournaient au Japon. Mais même si NEM n'a jamais quitté des yeux les notes marquées, les voleurs se sont quand même échappés. En fin de compte, ils ont pu se rendre à un échange non réglementé et encaisser au moins la moitié des pièces volées. En mars, l'équipe NEM a annoncé qu'elle abandonnait la poursuite.

Piqué par le vol massif, Coincheck a annoncé qu'il ne traiterait plus en Zcash, Monero ou Dash, une autre monnaie anonyme. C'est l'un des premiers échanges à couper ces pièces.

La décision de Coincheck fait partie d'un effort plus large visant à ramener la loi et l'ordre à cette nouvelle frontière de l'argent. Le gouvernement américain joue avec l'idée de créer une liste noire d'adresses de crypto-monnaie associées à des groupes criminels, tels que des terroristes, des trafiquants de drogue et des briseurs de sanctions. Une possibilité est qu'il devienne illégal de traiter avec des adresses sur liste noire.

Les voleurs de NEM se sont échappés, pour l'instant. Mais la technologie future pourrait encore les piéger. Au fur et à mesure que les techniques et les outils médico-légaux s'améliorent, des preuves jusque-là ignorées apparaîtront comme des traces d'ADN sur une scène de crime vieille de plusieurs années. Chaque fois que les autorités ferment une Route de la Soie ou un BTC-e, cela envoie un signal, dit Jeffrey Robinson : Ils auront les autres, un par un.

Douglas Heaven est un écrivain indépendant basé à Londres.

cacher