Une monnaie intraçable ? Préoccupations relatives à la confidentialité du bitcoin

Un aperçu de la blockchain

Le bitcoin n’est pas anonyme. Comme nous l’expliquons ci-dessous, il est pseudonyme – une distinction importante. C’est également une monnaie numérique décentralisée, de pair à pair, n’ayant aucun intermédiaire tiers (par exemple, un émetteur de carte de crédit, un processeur marchand ou une banque) qui intervient pour vérifier une transaction entre un acheteur et un vendeur. Puisqu’il n’y a pas de tiers, il doit y avoir un autre moyen de vérifier une transaction entre deux utilisateurs et d’éviter le problème du  » double-dépôt  » (c’est-à-dire un moyen de s’assurer qu’un utilisateur ne dépense pas les bitcoins qu’il a précédemment transférés).

C’est là qu’intervient la blockchain, l’aspect véritablement révolutionnaire des crypto-monnaies comme le bitcoin. Une blockchain est un grand livre public et distribué, dans lequel chaque transaction est enregistrée. Contrairement aux systèmes de paiement traditionnels dans lesquels le grand livre est tenu par un seul tiers, le grand livre d’une blockchain est distribué sur un groupe d’ordinateurs (des milliers), chacun ayant sa propre copie des transactions de la blockchain.

Chaque bloc de transactions d’une blockchain est confirmé par les utilisateurs du réseau pair-à-pair, appelés « mineurs », qui sont en compétition pour résoudre un problème de calcul complexe. Le premier mineur qui réussit à valider la transaction la diffuse sur le réseau, qui vérifie ensuite les résultats. Une fois vérifiées, les nouvelles transactions sont ajoutées comme un nouveau bloc à la blockchain. Dans le cas du bitcoin, le mineur qui a été le premier à vérifier avec succès cette transaction est récompensé par le réseau avec des bitcoins nouvellement créés. En juillet 2016, la récompense a été réduite de 25 à 12,5 bitcoins, et il est prévu qu’elle soit encore réduite à 6,25 bitcoins en 2021.

Anonymat contre pseudonymat

Parce que la blockchain du bitcoin est un enregistrement public permanent de toutes les transactions accessibles par n’importe qui à tout moment, elle n’est pas anonyme. Au lieu de cela, les transactions dans la blockchain sont cryptées avec une cryptographie à clé publique qui masque les identités réelles des individus derrière les transactions. Le bitcoin est donc pseudonyme. Lors de chaque transaction en bitcoin, chaque utilisateur se voit attribuer deux clés numériques : (1) une clé ou adresse publique – l’adresse est en fait un hachage dérivé de la clé publique, mais pour les besoins de cet article, nous utilisons ces termes de manière interchangeable – que tout le monde peut voir et qui est publiée sur la blockchain du bitcoin, et (2) une clé privée, qui n’est connue que de l’utilisateur et qui constitue sa « signature ».

La clé privée est utilisée par les autres pour vérifier que la transaction a bien été signée par cet utilisateur. La blockchain du bitcoin montrera seulement qu’une transaction a eu lieu entre deux clés publiques (un identifiant de 34 caractères alphanumériques aléatoires), indiquant l’heure et le montant de la transaction.

Tracer les bitcoins en remontant jusqu’aux individus

Le cryptage pourrait donner l’impression que ces transactions sont consultables mais inattaquables par des individus spécifiques. Cependant, les bitcoins ne sont pas aussi intraçables que le cryptage peut le laisser entendre. Il est possible de relier une transaction cryptée à une personne réelle – ce n’est pas un risque négligeable. Cela peut se produire de plusieurs façons.

Les utilisateurs qui s’appuient sur une bourse d’échange de bitcoins (comme Bitfinex, Binance ou Kraken) pour échanger des devises contre des bitcoins doivent divulguer leurs informations personnelles à cette bourse pour créer un compte. Les informations recueillies par la bourse varient, mais comprennent normalement, au minimum, le nom et le prénom de l’utilisateur et, éventuellement, un numéro de téléphone. L’échange peut également recueillir l’adresse IP de l’utilisateur. Si ces échanges faisaient l’objet d’une violation de la sécurité des données, les informations personnelles d’un utilisateur pourraient être exposées. En outre, certains échanges centralisés proposent de gérer les fonds en bitcoins des utilisateurs et les clés privées des utilisateurs en leur nom.

Il existe également des fournisseurs de services de portefeuille en ligne qui gèrent les portefeuilles des utilisateurs en leur nom. Un portefeuille est un logiciel qui stocke une collection de paires de clés publiques et privées d’un utilisateur. Le stockage des clés privées fait de ces bourses centralisées et des fournisseurs de services de portefeuille en ligne des cibles de choix pour les criminels car, comme nous l’avons vu plus haut, toute personne ayant accès à la clé privée d’un utilisateur est en mesure de créer une transaction bitcoin valide. Un pirate qui accède à la clé privée d’un utilisateur peut envoyer tous les bitcoins de cet utilisateur à lui-même, ou à tout intermédiaire de son choix.

Il y a eu plusieurs brèches très médiatisées dans les échanges par le passé, notamment le piratage en février 2014 de Mt. Gox, autrefois la plus grande bourse de bitcoins au monde. L’attaque de Mt. Gox a entraîné la perte de 850 000 bitcoins, alors évalués à 450 millions de dollars. Ainsi, les pirates qui prennent le contrôle du compte d’échange ou de portefeuille en ligne d’un utilisateur ont non seulement accès à ses informations personnelles et à l’historique de ses transactions, mais aussi à ses fonds en bitcoins.

Les échanges sont également de plus en plus soumis à des exigences réglementaires qui pourraient conduire les entités gouvernementales à accéder aux informations personnelles d’un utilisateur. La valorisation du bitcoin a récemment plongé lorsque la Securities and Exchange Commission des États-Unis a publié une déclaration avertissant que les plateformes en ligne qui échangent des actifs numériques répondant à la définition de « titres » seraient considérées comme des échanges en vertu des lois sur les valeurs mobilières et devraient s’enregistrer auprès de la SEC ou montrer une exemption d’enregistrement. Bien que la SEC n’ait pris aucune mesure à ce jour, cela signifie que les bourses de crypto-monnaies pourraient être soumises à la réglementation stricte sur les valeurs mobilières applicable aux bourses nationales.

De même, la Corée du Sud a annoncé une plus grande réglementation du bitcoin plus tôt cette année. Selon la nouvelle réglementation sud-coréenne, les utilisateurs ne pourront effectuer des dépôts dans le portefeuille de leur bourse que si le nom utilisé sur la bourse correspond au nom figurant sur le compte bancaire de l’utilisateur. Les bourses sont également déjà soumises à certaines obligations légales, telles que la réponse à des citations à comparaître, qui pourraient les obliger à partager des informations personnelles avec les autorités gouvernementales si la loi l’exige. Par exemple, la bourse américaine Coinbase a récemment reçu l’ordre d’un tribunal de remettre à l’Internal Revenue Service des informations concernant environ 14 000 de ses clients. Un bref examen des politiques de confidentialité en ligne de plusieurs bourses indique que les bourses partageront les informations d’un utilisateur si nécessaire pour se conformer à leurs obligations légales et réglementaires.

Blockchain Analytics

Il est également possible d’identifier les utilisateurs simplement en analysant les transactions sur la blockchain. Des entreprises comme Elliptic et Chainanalysis ont construit des entreprises basées sur l’analyse légale de la blockchain. Ces entreprises utilisent l’analytique sur la blockchain bitcoin pour relier les adresses bitcoin aux entités web et aider leurs clients à évaluer le risque d’activités illégales. Leurs clients comprennent des bourses mais aussi des entités gouvernementales. En fait, il est devenu public l’année dernière que l’IRS utilise le logiciel de Chainanalysis pour traquer les fraudeurs fiscaux potentiels.

Plusieurs études ont également montré qu’il est possible d’utiliser l’analyse de réseau et d’autres méthodes pour observer et potentiellement rattacher les transactions de la blockchain à certains sites Web et individus. Plus précisément, une étude réalisée en 2013 par des chercheurs de l’Université de Californie à San Diego et de l’Université George Mason a montré qu’il était possible d’étiqueter les adresses bitcoin appartenant au même utilisateur en utilisant une analyse de regroupement des adresses bitcoin. Un petit nombre de transactions privées avec divers services ont été utilisées pour identifier les principales institutions (comme les bourses ou les grands sites web).

À partir de là, les chercheurs ont pu obtenir des informations sur la structure du réseau bitcoin, sur la destination des fonds des transactions et sur les organisations qui y sont parties. Une autre étude menée par des chercheurs de l’ETH Zurich et de NEC Laboratories Europe, qui a examiné les transactions en bitcoins dans un petit échantillon universitaire, a révélé que l’utilisation de techniques de regroupement basées sur le comportement pouvait dévoiler dans un environnement universitaire typique les profils de jusqu’à 40 % des utilisateurs.

Comment les utilisateurs de bitcoins peuvent améliorer leur vie privée

Malgré ces problèmes de confidentialité, les utilisateurs de bitcoins ne doivent pas désespérer – il existe des moyens d’améliorer sa vie privée sur la blockchain bitcoin. Tout d’abord, un utilisateur de bitcoins peut utiliser une nouvelle adresse bitcoin pour chaque transaction et recevra donc une nouvelle clé publique pour chaque transaction, ce qui rendra plus difficile la traçabilité des transactions d’une personne spécifique à la même adresse. C’est en fait l’approche qui a été envisagée par Satoshi Nakamoto, le pseudonyme (et toujours inconnu) fondateur du bitcoin, qui recommandait dans le document qui a introduit pour la première fois le bitcoin d’utiliser « une nouvelle paire de clés… pour chaque transaction afin d’éviter qu’elles ne soient liées à un propriétaire commun. »

Deuxièmement, un utilisateur de bitcoins peut prendre quelques précautions supplémentaires pour minimiser le risque de traçabilité sur des échanges tiers. L’utilisateur pourrait utiliser le navigateur anonyme Tor pour accéder à l’échange et créer un compte sans inclure aucune information personnelle réelle ; l’adresse IP et les informations personnelles de l’utilisateur ne seraient pas exposées.

Troisièmement, l’utilisateur pourrait éviter de stocker des bitcoins dans des portefeuilles tiers en ligne, et n’utiliser que des portefeuilles de bureau hors ligne ; cela réduit l’exposition aux piratages des échanges. Quatrièmement, les algorithmes de mélange de bitcoins, tels que CoinJoin, relient les utilisateurs et leur permettent de payer ensemble de telle sorte que les bitcoins sont mélangés. Cela rend plus difficile l’identification d’un utilisateur particulier car seul un groupe de transactions est publié sur la blockchain (bien que des études et des recherches aient montré que même CoinJoin présente des faiblesses et pourrait permettre de remonter à un individu particulier).

L’alternative Monero

Ces problèmes de confidentialité ne sont pas passés inaperçus et des crypto-monnaies alternatives mettant davantage l’accent sur la confidentialité ont émergé. Monero est la plus importante de ces alternatives. Contrairement à la blockchain du bitcoin, qui, comme nous l’avons noté, est basée sur une cryptographie à deux clés (publique et privée), la blockchain de Monero est basée sur des clés uniques à usage unique et des signatures en anneau. Avec la technologie de signature par anneau, le signataire réel est mis en commun avec un groupe de signataires possibles, formant un « anneau ».

Cela crée une signature distinctive qui peut autoriser une transaction. Lorsqu’un individu initie une transaction Monero, le vérificateur est en mesure d’établir qu’une transaction provient d’un groupe mais n’est pas en mesure de déterminer l’identité de l’initiateur dont la clé privée a été utilisée pour produire la signature. Par conséquent, la blockchain de Monero n’identifie pas un expéditeur spécifique, et les adresses des destinataires ainsi que les montants des transactions sont cachés. Monero est devenu la crypto-monnaie de choix pour les utilisateurs soucieux de leur vie privée.

Bien que le bitcoin soit une méthode de paiement décentralisée et non réglementée, les utilisateurs doivent comprendre que cela ne signifie pas que leurs transactions en bitcoin sont anonymes et à l’abri des regards. La nature publique de la blockchain combinée à la menace croissante de la réglementation gouvernementale peut conduire à l’identification des utilisateurs engagés dans la transaction de la monnaie.