211service.com
Les transactions Bitcoin ne sont pas aussi anonymes que tout le monde l'espérait
Un nombre croissant de marchands en ligne offrent désormais la possibilité de payer en utilisant la crypto-monnaie Bitcoin. L'une des grandes promesses de cette technologie est l'anonymat : les transactions sont enregistrées et rendues publiques, mais elles ne sont liées qu'à une adresse électronique. Ainsi, quoi que vous achetiez avec vos bitcoins, l'achat ne peut pas vous être spécifiquement attribué.
C'est pratique pour certains, mais l'anonymat n'est en aucun cas parfait. Les experts en sécurité appellent cela la confidentialité pseudonyme, comme écrire des livres sous un nom de plume. Vous pouvez préserver votre vie privée tant que le pseudonyme ne vous est pas lié. Mais dès que quelqu'un fait le lien vers l'un de vos livres anonymes, la ruse est révélée. Tout votre historique d'écriture sous votre pseudonyme devient public. De même, dès que vos données personnelles sont liées à votre adresse Bitcoin, votre historique d'achat est également révélé.
Cela soulève une question importante pour les personnes souhaitant utiliser Bitcoin pour effectuer des achats anonymes : est-il facile de les lier à leurs transactions Bitcoin ?
Aujourd'hui, nous obtenons une réponse grâce au travail de Steven Goldfeder de l'Université de Princeton et d'un certain nombre de copains. Ces gars-là disent que la façon dont les informations fuient lors d'achats ordinaires permet de relier facilement les individus aux transactions Bitcoin qu'ils effectuent, même lorsque les acheteurs utilisent des protections de confidentialité supplémentaires, telles que CoinJoin.
Les principaux coupables sont les trackers Web et les cookies - de petits morceaux de code délibérément intégrés dans des sites Web qui envoient des informations à des tiers sur la façon dont les gens utilisent le site. Les trackers Web courants envoient des informations à Google, Facebook et autres pour suivre l'utilisation de la page, les montants d'achat, les habitudes de navigation, etc. Certains trackers envoient même des informations personnellement identifiables telles que votre nom, votre adresse et votre adresse e-mail.
De cette façon, les informations sur une transaction fuient sur le Web, où les gouvernements, les organismes chargés de l'application de la loi et les utilisateurs malveillants peuvent facilement les collecter et les analyser.
La question que Goldfeder et co enquêtent est de savoir à quel point il est facile d'utiliser ces informations pour connecter les gens à leurs transactions Bitcoin. Ce processus nécessite que l'espion connaisse les informations personnellement identifiables d'un individu - nom et e-mail, par exemple - puis les relie à une adresse Bitcoin spécifique.
L'équipe a commencé par répertorier les principaux marchands qui autorisent les transactions Bitcoin. Ils en ont proposé 130, dont Microsoft, NewEgg et Overstock.
Ils ont ensuite étudié comment les trackers Web divulguent des informations de chacun de ces sites au cours du processus d'achat. Nous constatons qu'au moins 53/130 des marchands divulguent des informations de paiement à un total d'au moins 40 tiers, le plus souvent à partir de pages de panier d'achat, selon Goldfeder et co.
La plupart de ces fuites d'informations sont intentionnelles à des fins de publicité et d'analyse. Mais les chercheurs disent également que des informations supplémentaires sont également envoyées. Nous constatons que de nombreux sites marchands ont des fuites d'informations beaucoup plus graves (et probablement involontaires) qui révèlent directement la transaction exacte sur la blockchain à des dizaines de trackers, disent-ils.
C'est une mauvaise nouvelle pour les personnes qui espèrent garder leurs achats Bitcoin anonymes. Mais même lorsque la transaction exacte est cachée, il est toujours possible de faire le lien lorsque la fuite comprend le montant et l'heure de l'achat.
Dans ce cas, l'espion doit convertir le montant de l'achat en Bitcoins en utilisant le taux de change du moment, puis rechercher dans la blockchain une transaction de ce montant à ce moment-là. Cela révèle l'adresse Bitcoin de l'utilisateur. Tous les autres achats effectués à l'aide de cette adresse sont alors triviaux à retrouver.
Il y a quelques facteurs supplémentaires qui rendent ce processus plus délicat. Le tracker Web peut divulguer le coût du produit mais ne pas inclure l'expédition, de sorte que l'achat total de Bitcoin peut ne pas être clair.
Il peut également y avoir un écart entre le moment où l'utilisateur a consulté la page à partir de laquelle les informations ont fui - le panier de paiement, par exemple - et le moment où l'achat a été réellement effectué. Les achats de Bitcoin sont horodatés, il devient donc plus difficile de les retrouver si l'heure n'est pas connue avec précision.
Le montant de l'achat est généralement exprimé dans une devise locale telle que le dollar ou la livre sterling, puis converti en bitcoin au moment de l'achat. En raison de la grande variabilité des taux de change du Bitcoin, il peut être difficile de déterminer la valeur exacte du Bitcoin si l'heure d'achat n'est pas connue avec précision.
Tous ces facteurs rendent plus difficile le lien entre les individus et leurs transactions Bitcoin, mais ce n'est en aucun cas impossible. Nous constatons qu'un lien unique est possible dans plus de 60% des cas pour des valeurs réalistes de ces paramètres, disent les chercheurs.
Il existe des moyens de masquer davantage les transactions Bitcoin. L'un des plus populaires est CoinJoin, un service qui relie les utilisateurs qui souhaitent effectuer des paiements similaires et leur permet ensuite de payer ensemble. Cela mélange leurs bitcoins, ce qui rend plus difficile leur identification.
Mais Goldfeder et co soulignent que si un individu utilise CoinJoin pour effectuer plusieurs achats de cette manière, il est simple de les relier : si la victime utilise 3 tours de CoinJoin et que l'adversaire observe deux des paiements de la victime, il peut les relier. retour à son portefeuille (malgré le mélange) avec une précision de 98 %.
Les acheteurs peuvent se protéger de plusieurs manières à l'aide d'outils tels que Ghostery, AdBlock Plus ou uBlock Origin. Ceux-ci sont utiles mais peuvent parfois manquer des trackers et à d'autres moments empêcher complètement les achats. De telles défenses peuvent être assez efficaces, mais elles sont loin d'être parfaites, disent Goldfeder et co.
Tout cela sera une nouvelle déprimante pour les personnes qui espèrent préserver leur vie privée en ligne.
Mais ce sera aussi de la musique aux oreilles des forces de l'ordre qui espèrent traquer les activités néfastes. Comme pratiquement toutes les attaques de désanonymisation sur les crypto-monnaies, nos techniques pourraient être utilisées pour créer des outils médico-légaux à l'usage des forces de l'ordre, admettent Goldfeder et co.
Et comme toutes les techniques de désanonymisation, cela aura des avantages et des inconvénients.
Réf : arxiv.org/abs/1708.04748 : Quand le cookie rencontre la blockchain : risques de confidentialité des paiements Web via les crypto-monnaies