Les blockchains agissent comme un grand registre permanent, consultable par le public, de la quasi-totalité des transactions en cryptomonnaies, permettant aux enquêteurs de suivre les mouvements de fonds entre les adresses de cryptomonnaies - ce qui n'est tout simplement pas possible avec la monnaie fiduciaire.
Cependant, les adresses de cryptomonnaies sont pseudonymes, les enquêteurs ont donc besoin de données fiables attribuant ces adresses à des services et des organisations afin de tirer des renseignements exploitables depuis les enregistrements de transactions des blockchains. Les attributions d'adresses incorrectes ou absentes et les malentendus sur la façon dont les entreprises de cryptomonnaies gèrent les fonds peuvent conduire à des conclusions erronées. Il est donc important que les enquêteurs utilisent les meilleurs outils d'analyse de blockchain pour limiter ces erreurs et mener à bien leurs analyses. Voici trois des erreurs les plus courantes commises dans les enquêtes sur les cryptomonnaies.
Se perdre dans les mixeurs de cryptomonnaies
Les mixeurs sont des services qui brouillent le chemin des fonds en regroupant les cryptomonnaies de plusieurs utilisateurs, et en re-distribuant à chacun un montant égal à ce qu'il a mis initialement, moins une commission de service. Chacun se retrouve avec un « mélange » des fonds que tous les autres ont mis en commun, ce qui rend plus difficile de relier les transactions entrantes et sortantes. Les criminels utilisent fréquemment les mixeurs pour tenter de dissimuler les origines illicites de leurs cryptomonnaies. Les mixeurs ne constituent pas nécessairement une impasse dans l'analyse de la blockchain - les enquêteurs peuvent souvent continuer à suivre les fonds même s'ils sont passés par ces services obscurcissants. Néanmoins, les enquêteurs doivent savoir qu'ils ont affaire à un mixeur, ce qui n'est possible que s'ils utilisent un outil d'analyse de la blockchain qui a marqué les adresses en question comme appartenant à un mixeur.
Prenons par exemple les transactions récentes effectuées par un administrateur de DarkSide, la souche de ransomware à l'origine de l'attaque contre Colonial Pipeline en mai dernier. On observe que peu de temps après l'attaque, l'administrateur a transféré des fonds vers un portefeuille intermédiaire, où ils sont restés jusqu'au 21 octobre 2021. À cette date, les fonds ont été déplacés vers un deuxième portefeuille intermédiaire et, environ une heure plus tard, vers un mixeur. Il nous est possible de voir cette activité car nous avons précédemment identifié l'adresse de réception sur la transaction finale comme appartenant au mixeur en question. Cependant, si les utilisateurs tentaient d'analyser cette transaction via un explorateur de blocs ou un outil d'analyse de la blockchain qui n'a pas catalogué l'adresse de réception comme faisant partie d'un mixeur, ils ne seraient pas en mesure de comprendre ce qui se passe. Au lieu de cela, ils verraient les fonds se déplacer vers plusieurs adresses différentes en succession rapide, dans un schéma ressemblant à une « peel chain ».
Une « peel chain » est un modèle de transaction couramment observé dans l'analyse des blockchains, dans lequel les fonds semblent passer par plusieurs adresses intermédiaires. En réalité, ces adresses font partie d'un seul portefeuille et sont créées automatiquement pour recevoir les fonds restants de certaines transactions. Dans le cas d'un mixeur non identifié, les adresses intermédiaires font partie du mixeur lui-même - et non d'un portefeuille - qui distribue les fonds à de nouvelles adresses également hébergées par le mixeur. Ce modèle de transaction a probablement contribué à faire croire que les chaînes de peel elles-mêmes sont une technique d'obscurcissement pour les criminels qui cherchent à blanchir des cryptomonnaies. En réalité, bien que les cybercriminels profitent souvent de la confusion qu'elles peuvent causer aux enquêteurs, les « peel chain » sont un modèle tout à fait normal lié à la façon dont les portefeuilles de cryptomonnaies sont conçus pour recueillir l’argent des transactions.
Si les enquêteurs ont utilisé un outil d'analyse de la blockchain qui n'a pas catalogué les adresses du mixeur utilisé par les administrateurs de DarkSide, ils en ont peut-être déduit que les mouvements de fonds du ransomware faisaient simplement partie d'une « peel chain ». Ces enquêteurs sont probablement arrivés à la conclusion erronée que les fonds de DarkSide avaient été collectés dans un ou plusieurs portefeuilles auto-hébergés, alors qu'en réalité ils avaient été mélangés et envoyés à l'administrateur de DarkSide à une nouvelle adresse. Ces enquêteurs semblent également avoir continué à suivre les fonds - des fonds qui n’étaient plus sous le contrôle des administrateurs de DarkSide - alors qu'ils quittaient le mixeur pour se retrouver sur des services tels que des bourses de cryptomonnaies. Cela a pu entraîner des assignations à comparaître erronées, faisant perdre du temps et des ressources aux enquêteurs et aux bourses.
Tenter de retracer des fonds via un service
Les criminels déplacent donc souvent les cryptomonnaies par le biais de portefeuilles intermédiaires dans le but de mettre les enquêteurs sur une fausse piste. Ces transactions sont relativement faciles à retracer avec la plupart des outils d'analyse, car les enquêteurs peuvent compter sur la blockchain pour leur montrer quelle nouvelle adresse a reçu les fonds après chaque transaction. Cependant, les enquêtes deviennent plus délicates lorsque les fonds sont transférés sur des services comme une bourse, car il est impossible de retracer l'endroit où les fonds sont envoyés après être arrivés à une adresse de dépôt hébergée par un service. La blockchain seule - sans données d'attribution - n'est plus une source fiable.
Cela s’explique par la façon dont les services gèrent les cryptomonnaies des utilisateurs. Lorsque quelqu'un envoie des cryptomonnaies à son adresse de dépôt via un service, celles-ci ne restent pas simplement à cette adresse. Au contraire, le service les déplace en interne, les regroupe et les mélange avec les fonds d'autres utilisateurs selon les besoins. Par exemple, de nombreuses bourses de cryptomonnaies conservent une partie des fonds déposés dans des portefeuilles froids déconnectés d'Internet pour des raisons de sécurité. Ceci est également valable dans le monde de la monnaie fiduciaire : si vous déposez un billet de 20 euros dans un distributeur automatique et que vous retirez 20 euros une semaine plus tard, vous ne recevrez pas le même billet déposé.
Les blockchains ne suivent plus les fonds une fois ces derniers envoyés sur un service, car le propriétaire de l'adresse de dépôt n'est généralement pas celui qui les déplace. Seule la bourse connaît les dépôts et les retraits associés à des clients spécifiques, et ces informations sont conservées dans les registres de commandes, invisibles sur les blockchains ou dans les plateformes d’analyse de blockchains. Les enquêteurs novices qui utilisent des explorateurs de blocs ou des outils d'analyse de la blockchain sans cette connaissance finissent parfois par envoyer des assignations erronées demandant des informations sur les adresses internes des bourses, ce qui entraîne une perte de temps et de ressources.
Ne pas réussir à identifier des adresses rattachées à des services imbriqués ou à des fournisseurs de services marchands
Les services imbriqués sont des services de cryptomonnaies qui fonctionnent à l'aide d'adresses hébergées par des bourses plus importantes afin d'exploiter la liquidité et les transactions de ces bourses. Les marchés de gré à gré (OTC) en sont un exemple courant, bien que nombre d'entre eux fonctionnent comme des services autonomes. Les clients des fournisseurs de services marchands fonctionnent de manière similaire. Ces derniers permettent aux entreprises classiques d'accepter les cryptomonnaies comme moyen de paiement pour leurs produits et services, à l'instar des sociétés de paiement dans le monde de la monnaie fiduciaire. Les entreprises qui utilisent les fournisseurs de services sont comparables aux services imbriqués décrits ci-dessus, dans la mesure où elles reçoivent des cryptomonnaies en utilisant des adresses hébergées par une autre entreprise. Cela signifie que les enquêteurs peuvent tirer de fausses conclusions dans les enquêtes sur les cryptomonnaies s'ils remontent jusqu'à une adresse qui n'est pas correctement identifiée comme appartenant à un service imbriqué ou à un fournisseur de services.
Nous en avons vu un exemple en juin 2021, lorsqu’il a été révélé que des adresses associées à la souche de ransomware Ever101 avaient envoyé des fonds à une adresse appartenant à RubRatings, un site pour adultes acceptant les paiements en cryptomonnaies. Cette information était fausse. Ever101 avait en fait envoyé des fonds à une adresse de dépôt hébergée par un fournisseur de services marchands dont RubRatings était également client. Les enquêteurs se sont trompés parce qu'ils ont utilisé un outil d'analyse de la blockchain qui a fait l’erreur de cataloguer l’ensemble des adresses dans les portefeuilles du fournisseur de services comme appartenant à RubRatings, sans réaliser que RubRatings était l'un des nombreux clients recevant des fonds à des adresses hébergées par le fournisseur de services. Cette erreur aurait pu conduire les forces de l'ordre à assigner RubRatings plutôt que le fournisseur de services, qui lui, aurait pu être en mesure de fournir davantage d'informations sur le compte utilisant l'adresse en question.
Les cartes ont besoin de légendes précises
Il faut considérer la blockchain comme une carte montrant les déplacements des cryptomonnaies. C'est utile, mais par défaut, la blockchain est une carte où aucun pays n'est étiqueté, ce qui limite ses possibilités d'action. Les plateformes de données des blockchains complètent cette carte en fournissant les légendes nécessaires aux enquêteurs pour comprendre qui contrôle les fonds lorsqu'ils sont transférés à une adresse spécifique. Si les légendes sont inexactes, les enquêteurs perdent du temps et des ressources à suivre des pistes inexactes.
Les erreurs décrites ci-dessus se résument pour la plupart à une identification incorrecte ou absente, et montrent pourquoi il est si important pour les enquêteurs d'évaluer les antécédents des fournisseurs d'analyse de blockchain en matière d'attribution des adresses de cryptomonnaies aux bons services. In fine, les outils d'analyse de la blockchain sont aussi efficaces que leurs données associées.
Commentaire