Le suivi des crypto-monnaies volées est une activité en plein essor : comment les détectives de la blockchain récupèrent le butin numérique


Des câbles à fibre optique, des câbles Ethernet centraux et en cuivre alimentent des commutateurs à l'intérieur d'une salle de communication dans un bureau à Londres le 21 mai 2018.

Des câbles à fibre optique, des câbles Ethernet centraux et en cuivre alimentent des commutateurs à l’intérieur d’une salle de communication dans un bureau à Londres le 21 mai 2018. (Jason Alden/Bloomberg)

Paolo Ardoino était en première ligne de l’un des plus grands braquages ​​de crypto-monnaie de tous les temps.

Il a été inondé d’appels et de messages en août l’avertissant d’une brèche chez Poly Network, une plate-forme où les utilisateurs échangent des jetons entre des crypto-monnaies populaires, comme Ethereum, Binance et Dogecoin. Les pirates s’étaient emparés de 610 millions de dollars en crypto, appartenant à des dizaines de milliers de personnes. Environ 33 millions de dollars des fonds ont été rapidement convertis en Tether, une « pièce stable » avec une valeur qui reflète le dollar américain.

Ardoino, directeur de la technologie de Tether, en a pris note. En règle générale, lorsque des cybercriminels avertis se débrouillent avec la crypto-monnaie, ils transfèrent les actifs entre les portefeuilles en ligne via des transactions difficiles à tracer. Et pouf, l’argent est perdu.

Ardoino est entré en action et quelques minutes plus tard ont gelé les actifs.

« Nous avons vraiment eu de la chance », a-t-il déclaré. « Quelques minutes après que nous ayons émis la transaction gelée, nous avons vu le pirate informatique tenter de retirer son Tether. Si nous avions attendu cinq minutes de plus, tout le Tether aurait disparu. » Deux semaines plus tard, Tether a remis l’argent à ses propriétaires légitimes. Et après les menaces de Poly Network, le bandit en ligne a abandonné le reste.

La saisie creuse un trou dans la croyance de longue date selon laquelle la crypto-monnaie est impossible à retracer. La crypto-monnaie est un code informatique qui permet aux gens d’envoyer et de recevoir des fonds, en enregistrant les transactions sur un grand livre public connu sous le nom de blockchain, plutôt que de conserver les informations du titulaire du compte. En raison du manque de données utilisateur, les crypto-monnaies comme le bitcoin ont été saluées comme un refuge pour les activités criminelles. Alimentée par l’anonymat, l’industrie de l’ombre permet aux pirates, aux fraudeurs fiscaux et à d’autres acteurs malveillants de blanchir de l’argent en secret, en dehors du système bancaire traditionnel.

Les escrocs en ligne ont gagné 2,6 milliards de dollars en 2020, selon un rapport Chainalysis. Cette année-là, les attaques de ransomwares ont plus que quadruplé.

Mais les enquêteurs médico-légaux deviennent de plus en plus avertis pour cartographier scrupuleusement l’activité sur les blockchains et déterminer qui se cache derrière des comptes spécifiques. Cela a déclenché une « nouvelle industrie artisanale de fournisseurs de données » capables de suivre les comptes de crypto-monnaie signalés pour activité illicite, a déclaré Zachary Goldman, avocat spécialisé dans les nouvelles technologies de paiement chez WilmerHale. « Cela n’a jamais vraiment été disponible auparavant. »

Grâce au suivi, les agents ont récupéré des fonds cryptographiques volés dans une poignée de cas très médiatisés. En juin, le Federal Bureau of Investigations a saisi les 2,3 millions de dollars de rançon en bitcoins Colonial Pipeline versés aux pirates qui ont infiltré le réseau informatique de l’entreprise. Les enquêteurs ont utilisé la blockchain pour suivre le flux du paiement de la rançon afin de retrouver les auteurs. En 2020, l’échange de crypto KuCoin a récupéré la quasi-totalité des 281 millions de dollars volés par des pirates informatiques nord-coréens présumés et a remboursé les fonds aux clients.

« Suivre l’argent reste l’un des outils les plus basiques mais puissants dont nous disposons », a déclaré la sous-procureure générale Lisa Monaco dans un communiqué de presse du ministère de la Justice annonçant que les fonds du Colonial Pipeline avaient été saisis. Les autorités ont accédé à la clé privée du titulaire du compte, selon un affidavit, mais n’ont pas précisé comment elles y ont accédé, ce qui pourrait empêcher les pirates de comprendre leurs méthodes, selon des experts externes.

Le FBI et Pipeline Colonial ont refusé de commenter la façon dont ils ont accédé au compte. D’autres dans l’industrie ont des théories.

Il existe des milliers de crypto-monnaies avec des milliers de blockchains, qui contiennent un enregistrement public de chaque transaction crypto effectuée. Mais les blockchains fournissent des données d’utilisateurs publiques limitées et les documents volumineux, pris en charge via un réseau de serveurs, nécessitent des compétences spécialisées et des téraoctets de stockage informatique à télécharger et à analyser. Cela permet aux criminels de se cacher derrière des numéros de compte cryptiques et de dissimuler leurs actifs en les déplaçant rapidement ou en les répartissant sur un large éventail de portefeuilles.

Les sociétés de surveillance de la blockchain réussissent à utiliser des logiciels pour extraire les données transactionnelles de la blockchain, les analyser à la recherche d’activités suspectes, telles que les comptes liés à un comportement illicite sur le dark web, et aider les forces de l’ordre à localiser les fonds.

Généralement, cela commence par un numéro de compte.

Qu’il s’agisse d’un paiement de rançon ou d’un vol de fonds, toutes les transactions cryptographiques – illicites ou non – sont liées à au moins une adresse cryptographique publique, similaire à un numéro de compte bancaire public. Ce numéro, une chaîne unique de plus de 25 caractères, peut conduire les agents vers une multitude d’informations sur la personne qui se cache derrière. Il peut signaler d’autres transactions effectuées par la personne et identifier les échanges ou les portefeuilles utilisés par le titulaire du compte. Si ces échanges ou portefeuilles sont gérés par une entreprise tierce, les actifs sont considérés comme « centralisés » et sujets à saisie, selon les experts.

Les actifs décentralisés, cependant, ne sont pas vérifiés ou maintenus par une autorité centralisée. Ils sont maintenus par code. En tant que tels, ils ne peuvent pas être congelés.

Lors du transfert de crypto-monnaie, les criminels transforment parfois par inadvertance des actifs décentralisés tels que le bitcoin en d’autres jetons numériques contrôlés ou pris en charge par une entreprise. Si la crypto-monnaie est « basculée » dans une pièce gérée par une seule entité, alors « l’entreprise peut réellement geler cette devise, brûler ces jetons ou exercer un contrôle important sur cela », a déclaré Adam Lowe, directeur de l’innovation chez CompoSecure, une société de portefeuille de crypto-monnaie.

Étant donné que les blockchains répertorient l’historique des transactions pour chaque pièce, plutôt que les informations sur le propriétaire, les enquêteurs utilisent un logiciel sophistiqué pour analyser où les devises circulent.

Bitquery, une société de moteurs de recherche blockchain, produit des logiciels qui sous-tendent les outils d’analyse utilisés par les cabinets d’avocats, les agences gouvernementales et les sociétés d’analyse de données.

Le travail de calcul a lieu dans un entrepôt de New York, où des serveurs traitant jusqu’à 300 téraoctets de données à la fois analysent la blockchain 24 heures sur 24. « Nous extrayons des données de la blockchain, les transformons de manière utile et les mettons dans nos bases de données où les clients peuvent y accéder », a déclaré Gaurav Agrawal, responsable de la croissance chez Bitquery.

Le logiciel commence par trouver toutes les transactions associées à une adresse cryptographique signalée et génère des graphiques pour montrer comment la monnaie numérique a circulé dans et hors du compte. Il tente d’identifier des modèles qui pourraient indiquer d’autres services de paiement que le pirate utilise.

Les outils médico-légaux les plus avancés peuvent indiquer aux enquêteurs si un numéro de compte a été actif sur le dark web ou sur un site de jeux d’argent. Ils pourraient révéler une adresse IP, qui peut faire apparaître une adresse personnelle exacte, a déclaré Steve McNew, directeur général principal de FTI Consulting, une société spécialisée dans les enquêtes sur les crypto-monnaies.

Les échanges de crypto-monnaie, les portefeuilles et les dépositaires exigent que les utilisateurs incluent des informations identifiables s’ils souhaitent s’inscrire. Ces entreprises, si elles sont citées à comparaître, peuvent révéler les informations du titulaire du compte.

Mais il y a des limites à ce que les autorités peuvent glaner.

Plusieurs tactiques peuvent faire dévier les autorités de la piste. Les personnes qui souhaitent échapper à l’examen minutieux peuvent regrouper leur crypto dans des « mélangeurs », une adresse de portefeuille qui combine les pièces avec d’autres transactions, ce qui les rend plus difficiles à retracer. Les pirates peuvent également stocker leurs clés de crypto-monnaie dans des portefeuilles « froids » qui ne se connectent pas à Internet et sont donc plus sécurisés. Ils transfèrent les jetons numériques dans un portefeuille en ligne à une adresse liée à leur bureau ou enregistrent les informations de compte et les clés privées sur un appareil semblable à une clé USB.

Si vous conservez votre crypto dans un portefeuille matériel, « la sécurité est assez à l’épreuve des balles », a déclaré David Sacco, praticien en résidence à l’Université de New Haven dans les départements de finance et d’économie.

Malgré une multitude d’innovations dans la technologie de suivi, la crypto-monnaie reste toujours extrêmement difficile à suivre. La plupart des cybercriminels s’en tirent, a déclaré McNew.

« Si les criminels stockent les clés dans un fournisseur de cloud, ou avec un dépositaire de données tiers, accéder à ces clés serait un moyen d’appréhender l’actif en question », a déclaré Nic Carter, partenaire de Castle Island Ventures, une blockchain. fonds de capital-risque ciblé.

Le stockage des informations en ligne signifie qu’elles sont plus susceptibles d’être accessibles, car les autorités peuvent assigner à comparaître l’opérateur du portefeuille pour obtenir des informations spécifiques sur le titulaire du compte. Lorsque les autorités ne peuvent pas accéder à un compte, elles attendent que le cybercriminel tente de retirer de l’argent ou déplacent la crypto quelque part aux États-Unis avant de bondir.

« C’est le plus souvent ainsi que nous attrapons les gens », a déclaré McNew. « Alors qu’ils le déplacent d’un portefeuille privé vers un échange, dans l’espoir de l’encaisser sur leur compte bancaire, nous assignons l’échange, découvrons à qui appartient le compte bancaire et les attrapons de cette façon. »

Laisser un commentaire