L’affaire du ransomware de Colonial Pipeline a remis sur le devant de la scène la question de l’anonymat et de l’opacité des transactions en bitcoin. Il y a une semaine, le FBI a révélé avoir récupéré une grande partie des 75 bitcoins que l’entreprise américaine a payé aux pirates du groupe DarkSide. « En examinant la blockchain publique du bitcoin, les forces de l’ordre ont pu suivre plusieurs transferts et identifier qu’environ 63,7 bitcoins, représentant le produit du paiement de la rançon de la victime, avaient été transférés à une adresse spécifique, pour laquelle le FBI avait la clé privée », pouvait-on lire dans le communiqué du ministère de la Justice des États-Unis.
En effet, toutes les transactions du réseau bitcoin sont publiques et accessibles librement. Cette propriété découle de la nature décentralisée et ouverte de cette cryptomonnaie. N’importe qui peut créer un nœud bitcoin. Il suffit pour cela d’installer le logiciel Bitcoin Core et de télécharger la blockchain, qui rassemble toutes les transactions depuis le début et qui pèse actuellement plus de 65 Go. Des entreprises se sont spécialisées dans l’analyse de cette chaîne de blocs, notamment pour détecter des transactions d’origine criminelle.
A découvrir aussi en vidéo :
C’est visiblement ce qui a été fait dans l’affaire Colonial Pipeline. En analysant les transactions, le FBI a pu identifier l’adresse du portefeuille qui détenait la part principale de la rançon payée. Mais identifier l’adresse n’est pas suffisant pour accéder aux fonds. Pour cela — et c’est la véritable prouesse des policiers américains — il faut également détenir la clé privée.
Comment ont-ils pu mettre la main sur ce code secret ? Mystère. Interrogés par Brian Krebs, plusieurs experts estiment que la somme saisie provenait d’un partenaire des auteurs du ransomware. DarkSide, en effet, utilise un modèle de piratage indirect : le groupe met à disposition leur logiciel malveillant à des tiers qui se chargent de l’implanter dans le réseau d’une entreprise. La rançon est ensuite partagée. Dans le cas présent, il semblerait que la clé de répartition est 85 % pour le partenaire et 15 % pour les auteurs.
Manque de sécurité opérationnelle
Ce qui est étonnant, c’est que les pirates n’aient pas blindé davantage leurs opérations. Car avec le réseau bitcoin, il est possible de brouiller les pistes en faisant appel à des mélangeurs ou « tumblers », tels que Wasabi Wallet ou Smart Mix. Ces intermédiaires permettent de décorréler les transactions par une répartition en plusieurs montants et des paiements différés. Évidemment, ces intermédiaires demandent des frais de transaction et les utilisateurs ne sont jamais à l’abri d’une fraude. Concernant la clé privée, il est possible de la protéger en faisant en sorte qu’elle ne soit jamais stockée en mémoire sur un ordinateur connecté sur Internet. Par exemple en utilisant un « hardware wallet » tel que Ledger ou Trezor. Si le FBI a réussi à mettre la main sur la clé privée, c’est qu’elle était forcément stockée dans un système informatique insuffisamment sécurisé.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.