CipherTrace de Mastercard a utilisé des « pots de miel » pour recueillir des informations sur les portefeuilles Crypto

Le 3 mars 2020, juste avant l’heure du déjeuner à Washington, D.C., Stephen Ryan a envoyé à quelqu’un du département du Trésor américain une note de remerciement avec un détail curieux.

Directeur des opérations et cofondateur de la société de détectives de Cryptomonnaie CipherTrace, Ryan était ONEun des 16 dirigeants qui ont assisté à un sommet sectoriel la veille avec le secrétaire au Trésor de l'époque, Steven Mnuchin. En plus de sa gratitude pour la réunion, Ryan a joint un diaporama présentant la stratégie de CipherTrace pour démystifier les portefeuilles de Crypto . Parmi ces méthodes : les « pots de miel ».

Cet article fait partie de CoinDeskSemaine de la Politique de confidentialité série.

La note de Ryan faisait partie d’un trésor de 250 pagesLes courriels de Mnuchin obtenu par CoinDesk grâce à une Request en vertu de la loi sur la liberté d'information (FOIA). Certaines parties de son diaporama ressemblent beaucoup aux documents promotionnels publics de CipherTrace. Ceux-ci font également référence aux « pots de miel » ou aux « pots d'argent Crypto » similaires depuis au moins 2018.

Qu'est-ce queTrace de chiffrementque veut dire ces termes ?cybersécuritéLa communauté utilise l'expression « pot de miel » pour décrire une cible leurre qui recueille des renseignements sur des attaquants sans méfiance. En d'autres termes, un piège.

CipherTrace, que le géant des paiements Mastercard a acheté l'automne dernier pour un prix non divulgué, fait partie d'une industrie artisanale qui surveille les carrefours de 14 milliards de dollars par an entre Cryptomonnaie et crime. En passant au crible des millions de transactions quotidiennes enregistrées sur des blockchains, ou registres publics, des entreprises telles que Chainalysis,Laboratoires TRM et Elliptiquerechercher des signaux d'alerte et des mouvements illicites, en étiquetant les adresses suspectes au fur et à mesure.

Les entreprises présentent leurs services comme essentiels à la normalisation des Crypto et à la lutte contre la criminalité. Leurs détracteurs accusent ces sociétés de traçage d'être des trafiquants de drogue, même si elles travaillent principalement avec des informations publiques.

CipherTrace ne serait T la première entreprise dans ce créneau à poser des pièges dans l'espoir de capturer des informations qui ne peuvent T être trouvées sur la chaîne. Chainalysis, le principal fournisseur de traçage de Crypto , possède depuis des années un site d'exploration de portefeuille qui capture les adresses IP des visiteurs et les relie aux adresses de blockchain qu'ils ont recherchées. reconnu cette pratique seulement en octobre, un mois après que CoinDesk a publié un articleattirer l'attention sur cela.

Plus d’une demi-douzaine de vétérans de l’industrie des Cryptomonnaie ont déclaré à CoinDesk qu’ils n’avaient aucune idée de ce que CipherTrace entendait par « pots de miel ». Dans une déclaration fournie à CoinDesk, la société basée à Los Gatos, en Californie, a donné la définition de base de la sécurité informatique sans expliquer ce que cela signifiait dans le contexte de l’analyse de la blockchain.

« Un « pot d'argent Crypto » ou « pot de miel » est un terme de sécurité faisant référence à un mécanisme qui crée un piège virtuel pour attirer les attaquants potentiels », a déclaré CipherTrace, ajoutant que les documents mentionnant ces tactiques sont anciens. « CipherTrace n'utilise plus de « pots d'argent Crypto » », a-t-il déclaré (bien que le site Web de la société ait vanté les deux argent et pots de miel(à partir de jeudi).

CoinDesk a demandé à CipherTrace : « Votre entreprise collecte-t-elle des données d'adresse IP dans le but de les relier à des adresses de portefeuille ? »

Un représentant de CipherTrace a répondu : « En tant qu’entreprise soucieuse de la confidentialité, CipherTrace ne relie pas les données IP à des particuliers. »

Elle n'a pas répondu à la question de CoinDesk de savoir si CipherTrace mappe les adresses IP aux portefeuilles. CoinDesk a demandé une deuxième fois si CipherTrace mappe les adresses IP aux adresses de portefeuille. CipherTrace n'a pas répondu.

« Cette prudence est un problème fréquent dans le domaine de la Politique de confidentialité , lorsque nous parlons d’identifiants de réseau comme les adresses IP », a déclaré Sean O’Brien, chercheur en cybersécurité. « Les entreprises tentent de se distancer de ce que l’on appelle traditionnellement les informations personnelles identifiables en affirmant que les adresses IP sont autre chose. En fait, elles sont incroyablement utiles pour identifier les ménages, les entreprises et les particuliers. »

Par exemple, « si vous devez enquêter sur une transaction Bitcoin liée à un cybercrime présumé, les adresses IP sont exactement le type d’informations que vous recherchez », a déclaré O’Brien. « Les premières affaires impliquant les forces de l’ordre et Internet reposent sur les adresses IP comme preuves, et ce pour une bonne raison. Et elles sont tout aussi utiles pour harceler et traquer les gens que pour les poursuivre. »

Suivre l'argent

Les entreprises de traçage ont longtemps été une force majeure, bien que méconnue, de la marche institutionnelle de la crypto. Luttant contre l'idée selon laquelle le Bitcoin est avant tout un outil Finance criminel, elles analysent les données pour identifier la faible part qui l'est réellement.

Chainalysis récemment estimé que 0,15 % des transactions Crypto en 2021 étaient illicites – de loin le pourcentage le plus faible jamais enregistré. (Les portefeuilles « illicites » ont amassé un montant record de 14 milliards de dollars l'année dernière, une statistique apparemment paradoxale que Chainalysis a attribuée à la croissance fulgurante des cryptomonnaies.)

CipherTrace affirme que sa mission est de « développer l'économie des Cryptomonnaie en la rendant fiable pour les gouvernements, sûre pour une adoption massive et en protégeant les institutions financières des risques de blanchiment de Crypto ».

Tirée de la présentation partagée avec le département du Trésor, cette description serait probablement partagée par toutes les entreprises concurrentes. Elle touche au cœur des préoccupations des détracteurs. Les maximalistes de la Politique de confidentialité pensent que la nature radicalement transparente mais pseudonyme de Bitcoin devrait FLOW indépendante de l'État, et ils voient le travail de ces entreprises comme une trahison de cet idéal.

« C'est une sorte d'invasion de la Politique de confidentialité des utilisateurs, de la même manière que vous pourriez vous plaindre des sociétés d'analyse Web centralisées qui collectent les adresses IP et placent des cookies sur les ordinateurs des utilisateurs et les suivent d'un site à l'autre », a déclaré Jean Lumière, un éducateur en Crypto de longue date, écrivain, podcasteur et organisateur d'événements.

L’analyse en chaîne est, à la CORE, une course à l’attribution.

Dans les cercles de cybersécurité,attribution signifie identifier les auteurs d'un piratage. Dans le contexte des Crypto , cela fait spécifiquement référence à la pratique des détectives de la blockchain consistant à lier des adresses de portefeuille pseudonymes à des acteurs identifiables. Ces acteurs peuvent être des bourses ou des dépositaires de Crypto agréés, des attaquants de ransomware, des marchés du darknet ou des personnes ou entités sanctionnées.

Par exemple : toute personne disposant d'une connexion Internet peut voir que, par exemple, le portefeuille abc123 a transféré 0,5 BTC à zxy987 ; cette information est plutôt inutile en soi. Mais une base de données de traçage pourrait documenter que l'Office of Foreign Assets Control des États-Unis a identifié zxy987 comme appartenant à un chef de guerre africain sanctionné. Ou elle pourrait montrer que les Bitcoin d'abc123 ont été volés sur une plateforme d'échange.

Ces informations sont précieuses pour les plateformes d'échange qui souhaitent mettre un terme aux activités illicites, pour les utilisateurs qui souhaitent KEEP leurs cryptomonnaies propres, pour les gouvernements qui souhaitent Réseaux sociaux l'argent. Elles sont recueillies grâce à une attribution rigoureuse.

Avec potentiellementdes millions de dollarsDans les contrats d'enquête en jeu, ces entreprises ont un besoin urgent d'exploiter de nouvelles données d'attribution. CipherTrace, par exemple, a décroché 20 contrats avec des agences fédérales, d'une valeur allant jusqu'à 3,5 millions de dollars, depuis 2018, le plus récent étant un travail de témoin expert, selon les documents publics.

Dans un secteur qui récompense les créateurs d'ensembles de données d'attribution nuancés et détaillés - et un domaine où les criminels sont avides de renseignements pour les aider à échapper à l'attention - garder le Secret de l'attribution est primordial, ont déclaré deux praticiens de longue date.

Néanmoins, dans son e-mail au Trésor, Ryan a donné un avant-goût de « la manière dont l’attribution des Cryptomonnaie est réalisée ». Les pots de miel étaient répertoriés comme ONEune des stratégies « actives » dans le diaporama.

Chainalysis: L'as de l'attribution de la blockchain

Le plus grand concurrent de CipherTrace a commencé à exploiter sa propre technique innovante trois ans auparavant.

Fondée en 2014 et valorisée en juin à4,2 milliards de dollarsChainalysis est le grand patron de l'industrie du traçage. Il a engrangé des dizaines de millions de dollars de contrats fédéraux pour la vente de logiciels permettant de visualiser l'activité en chaîne. Bien que toute personne disposant d'une connexion Internet puisse parcourir elle-même les enregistrements publics de la blockchain, vous aurez besoin d'un peu d'aide pour donner un sens à ce que vous trouvez dans le terrier du lapin.

Mais le véritable atout commercial du traceur réside dans son ensemble de données d'attribution, ont déclaré trois initiés du secteur. Aucune autre entreprise n'a accumulé une mine de données de portefeuille aussi détaillées que Chainalysis, ont déclaré les sources.

C'est en partie parce qu'aucun autre traceur n'a une empreinte commerciale aussi massive. Chainalysis fournit des logiciels de traçage à 500 « fournisseurs de services d'actifs virtuels », ou VASP, comme les appellent les régulateurs. Il s'agit d'une relation mutuellement bénéfique. Les entreprises bénéficient de puissants outils de conformité Crypto , et Chainalysis ajoute leurs adresses de portefeuille à sa base de données mondiale. Cependant, il ne demande pas à ses clients de données sur leurs clients.

« Nous ne pouvons T parler au nom de tous les autres fournisseurs. Il est possible que d'autres fournisseurs demandent plus d'informations. Mais Chainalysis ne s'intéresse qu'aux données de transaction au niveau du service », a déclaré la société. expliquédans un article de blog de 2019. En d'autres termes, il identifie uniquement les entreprises dont il sait qu'elles contrôlent les portefeuilles, pas les personnes.

Mais ce n’était T toute l’histoire, et les clients de Chainalysis et les informations publiques sur les portefeuilles n’étaient pas les seules sources d’informations de l’entreprise.

Dans un diaporama non daté destiné à la police italienne et divulgué en septembre, une équipe commerciale de Chainalysis a décrit comment le vaste réseau de nœuds de portefeuille Bitcoin et Electrum de l'entreprise capture des données utilisateur précieuses telles que les adresses IP des portefeuilles connectés. Cela a aidé les enquêteurs à Réseaux sociaux des pistes criminelles significatives, selon la présentation.

Le diaporama apporte également un nouvel éclairage surwalletexplorer.com, un explorateur de blocs Bitcoin populaire géré par Chainalysis depuis 2015. Selon les documents, dont CoinDesk a vérifié l'authenticité, le site Web « récupère » les adresses IP des utilisateurs suspects, reliant leur empreinte Internet à l'adresse de leur portefeuille. Cet ensemble de données a fourni des « pistes significatives » aux forces de l'ordre.

« Ce n’était jamais un Secret que Chainalysis possédait et exploitait walletexplorer.com. Depuis 2015, il y a une déclaration au bas de la page d'accueil indiquant que l'auteur du site travaille chez Chainalysis en tant qu'analyste et programmeur", a déclaré un porte-parole de la société à CoinDesk.

Un Secret de polichinelle, peut-être, mais pas vraiment un livre ouvert. Chainalysis a rarement attiré l'attention sur le fait que walletexplorer.comtransmettait les données des utilisateurs à ses autres secteurs d’activité.

Quelques semaines après CoinDesk signalé sur walletexplorer.com, le site Web a adopté une page de Déclaration de transparence de Politique de confidentialité qui explique, pour la première fois, comment son trésor de données se fraye un chemin dans la gamme de produits Chainalysis .

« Nous partageons les informations sur la blockchain et les informations sur les visiteurs avec nos autres secteurs d'activité Chainalysis pour nous aider à fournir et à améliorer ces services. Par exemple, d'autres secteurs d'activité de Chainalysis peuvent être en mesure d'utiliser les informations que nous fournissons pour mieux connecter une adresse de portefeuille Bitcoin à une autre adresse de portefeuille Bitcoin », a déclaré le communiqué daté du 14 octobre. Juridique dit.

« Nous avons récemment ajouté un avis de Politique de confidentialité pour fournir plus d'informations sur la manière dont Chainalysis utilise en interne les informations collectées à partir du walletexplorer.com« Nous avons mis en place un site Web pour nous aider à améliorer nos services », a déclaré le porte-parole.

Rien de personnel ?

Même si l'on ne sait pas exactement à quoi servent les honeypots de CipherTrace, le mot évoque un système qui prétend faire une chose tout en en déclenchant une autre. Le propriétaire d'un portefeuille qui interagit avec un « honeypot » serait par définition inconscient des arrière-pensées du service.

Chainalysis,Trace de chiffrement et Elliptique Ils ont tous déclaré auparavant qu'ils ne cherchaient pas à lier les individus à des portefeuilles. Leur activité consiste à aider les gouvernements à enquêter sur les crimes Crypto et à assurer la conformité des échanges.

Démasquer des individus ne fait T partie de l'équation. Ces entreprises ne font que Réseaux sociaux l'argent, disent-elles.

« Les renseignements sur la blockchain que nous fournissons relient les transactions Crypto à des entités du monde réel telles que les bourses, les marchés du darknet et les entités sanctionnées », a déclaré à CoinDesk Ari Redbord, responsable des affaires juridiques et gouvernementales de TRM Labs.

« Ces renseignements permettent d’alerter une plateforme d’échange de Crypto si, par exemple, elle traite une transaction impliquant une adresse qui a déjà été utilisée pour financer le terrorisme », a-t-il déclaré. « Il en va de même pour les transactions liées à des piratages, des ransomwares, des arnaques et d’autres attaques qui nuisent aux investisseurs et aux utilisateurs de Crypto . »

Mais « nous n’attribuons pas les transactions à des individus », a déclaré Redbord à propos de TRM Labs.

De même, le représentant de CipherTrace a déclaré qu'il « n'attribue pas de données de portefeuille à des particuliers, à l'exception des entités sanctionnées ». Il l'a fait de manière prolifique, se vantant dans un ONE de 2019 article de blogd’attribuer 72 000 adresses IP iraniennes à 4,5 millions de portefeuilles.

La question de savoir si CipherTrace attribue des adresses IP à d'autres portefeuilles reste ouverte. Les hauts dirigeants de l'entreprise affirment qu'ils ne conservent T d'« informations personnelles identifiables », mais uniquement des « informations commerciales identifiables ».

« CipherTrace ne conserve pas les PII, nous conservons les BII », a déclaré le PDG de CipherTrace, Dave Jevans, dans une interview en juin.

« Nous savons par exemple quelles adresses appartiennent à quel échange », a-t-il déclaré. « Mais nous ne suivons T les informations individuelles indiquant que c'est vous qui êtes à telle adresse ; ce n'est pas notre métier. Nous ne voulons T faire ça. Nous déterminons d'où vient l'argent, d'où il sort, et ensuite ce sera aux tribunaux et aux forces de l'ordre » de faire le reste.

Comme l'a noté O'Brien, le chercheur en cybersécurité, la définition des informations personnellement identifiables de CipherTrace semble exclure les adresses IP - ainsi que les emplacements physiques, selon ONEun des propres rapports de l'entreprise. articles de blog: