FAIL : le ministère de l’Intérieur à l’assaut des cryptos

Cryptocurrency Mining by Crypto360(CC BY 2.0) — Crypto360, CC-BY

Par h16.

Dans de précédents billets qui relataient notamment les fines analyses de la Banque de France au sujet des cryptomonnaies, on s’était assez vite aperçu que ces nouvelles technologies sont assez impénétrables pour la plupart des administrations françaises.

En fait, il y a un peu plus d’un an de cela, je constatais même l’obstination des politiciens et des institutions républicaines à voir dans ces technologies une source de dangers, de problèmes et de bonnes combines destinées avant tout à frauder, à déposséder la veuve et l’orphelin, à mener des opérations illicites, bref à échapper à l’État pourtant indispensable à toute société civilisée, policée et onctueuse comme peut l’être la République Française du Bisounoursland.

En France, par principe, les cryptomonnaies sont vues au mieux comme une curiosité opaque aux perspectives mineures, et au pire comme quelque chose oscillant entre l’arnaque pour gogos ou la sulfureuse monnaie des terroristes, des dealers et des pédophiles.

Il n’est donc guère surprenant qu’à la fin, sentant bien les remugles soufrés se dégager à grosses volutes piquantes des intertubes cachés et autres darkwebs interlopes, le ministère de l’Intérieur se décide enfin à engager une partie de ses ressources à étudier les cryptomonnaies, entre l’un ou l’autre projet plus ou moins idiot de surveillance des populations ou l’épandage massif de nouveaux radars routiers en lieu et place de toute action de retour à l’ordre dans certains quartiers émotifs.

On apprend en effet par le truchement discret mais heureusement obligatoire des appels d’offres publics sur la plateforme web dédiée, que notre ministère cherche actuellement une entreprise capable de lui fournir des outils spécialisés dans l’analyse des transactions en cryptomonnaies.

Comme le détaille un intéressant article de Capital, le ministère a donc passé un appel d’offres visant à obtenir une solution logicielle capable de « surveiller, analyser et de suivre les transactions en vue de désanonymiser les utilisateurs de bitcoins ».

Le préambule du document ne laisse guère de doute sur l’orientation tout à fait neutre du ministère dans sa démarche :

Les services de la sécurité intérieure sont de plus en plus confrontés à des vendeurs agissant sur le Darknet : sur cette partie de l’Internet, les vendeurs se sentent à l’abri de toute capacité d’identification. Afin de démasquer ces vendeurs frauduleux, les enquêteurs et analystes s’attachent à l’examen de toutes les traces laissées par ces derniers. Parmi les indices, figurent notamment les traces de transactions illicites dans la blockchain Bitcoin.

Darknet, fraude, transactions illicites, blockchain et Bitcoin : c’est bon, Commissaire Castaner, toutes les cases sont cochées, on va pouvoir rameuter du beau monde qui va nous décrypter cette méchante technologie et nous serrer les coupables vite fait, bien fait. Et pour changer, ce sera une technologie française, de qualité française, avec du made-in-France montebourgeois d’un bout à l’autre, ce qui nous changera des firmes américaines (Chainalysis) ou de la perfide Albion (Elliptic).

À ce point du billet, on se doute que les choses partent déjà fort mal : d’une part, la blockchain Bitcoin ne permet pas franchement d’anonymiser les transactions. D’autre part, Bitcoin n’est plus, depuis un moment, la cryptomonnaie de référence en matière de transactions frauduleuses, précisément à cause de ce premier point. Des cryptomonnaies qui garantissent l’anonymat de leurs utilisateurs, il y en a, mais Bitcoin n’en fait pas partie. Zut alors.

Par ailleurs, le principal souci des transactions illicites sur le darkweb provient plutôt de la nature même du darkweb, pas vraiment des transactions (qui, rappelons-le, seront de toute façon visibles de tous par construction). L’analyse de la blockchain pour en déduire des choses sur le darkweb est quelque peu tordue.

Soyons charitables et mettons cependant ce galimatias du préambule sur le dos d’un stagiaire du ministère un peu trop joyeux. Cela arrive.

Là où les choses prennent une tournure amusante, c’est lorsqu’on épluche la suite de l’appel d’offres. On y découvre alors quelques pépites qui donnent une assez bonne idée du terrain sur lequel les équipes du ministère se sont engagées à l’image de bobos barbus à claquettes colorées sur des trottinettes électriques parcourant un champ de mines vietnamien pendant que des hélicoptères survolent le tout en diffusant la Chevauchée des Walkyries à fond…

En effet, pour remporter l’appel d’offres, les prétendants devront tout de même être capables « d’identifier à la fois des portefeuilles (ou wallets) qui regroupent des adresses de paiement bitcoins appartenant à la même entité (clusterisation) et des flux (groupes de transactions entre les différents portefeuilles) ». Le produit devrait permettre de « disposer de l’adresse IP, du port source, de l’adresse mail, de données de géolocalisation liées aux ordres de paiement, du logiciel de gestion de wallet utilisé pour le paiement » et d’« effectuer une requête à partir d’une adresse IP, d’une clé cryptographique de type PGP et d’une adresse mail » pour retrouver les petits plaisantins qui oseraient utiliser ainsi Bitcoin (mais aussi, apparemment, Bitcoin Cash, Litecoin, Ethereum ou Tether) pour se lancer dans des opérations illicites…

Sur le plan strictement humain, chacun comprend bien qu’il s’agit pour le ministère de retrouver ses marques dans un domaine où il est de fait complètement perdu. Avec les banques et même avec l’argent liquide, il sait plutôt bien retrouver qui fait quoi, où et quand, et peut facilement tracer les habitudes de ses cibles. Moyennant l’une ou l’autre autorisation légale, commission rogatoire ou autre effet juridique, on peut faire une petite clef de bras aux établissements bancaires qui cracheront tous les renseignements demandés sans protester (sans même évoquer que de nos jours certains livrent carrément les clefs de leurs coffres aux autorités avant qu’elles le demandent, avec cette déférence dégoulinante que les pleutres et les coupables affichent toujours sans sourciller).

Avec les cryptomonnaies, tout cela devient flou et beaucoup trop complexe : personne sur qui faire pression, pas de tête de proue qu’on peut viser. L’humain laisse le pas à la technique.

Et lorsque, maniée par des non-experts, la poudre (technique) parle, cela éparpille façon puzzle aux quatre coins du pays.

Parce que la réalité technique est que retrouver aisément une adresse IP, des e-mails, une géolocalisation ou — tant qu’on y est — l’historique Facebook d’un utilisateur de cryptomonnaie, c’est franchement délicat dans le cas des monnaies non anonymisées par défaut, mais c’est carrément impossible dans le cas des monnaies anonymes (comme Monero ou Zcash par exemple). Pire : le besoin d’anonymat a rapidement été placé en haut des besoins des utilisateurs, comme la fongibilité complète des cryptomonnaies. Ceci aboutit directement au développement de surcouches spécialisées sur beaucoup d’entre elles, dédiées justement à l’anonymisation des transactions.

Il reste enfin les points d’entrée et de sortie de ces monnaies : pour beaucoup, transformer un bitcoin en euros ou en dollars revient à passer par une plateforme spécialisée (un « échange ») comme Bitstamp, Kraken ou tant d’autres. Bien évidemment, ces établissements ayant pignon sur rue, on comprend que c’est là que les autorités veulent venir mettre leur nez.

Manque de pot là encore : non seulement les usagers des cryptomonnaies qui s’adonnent à des activités illicites ne passeront pas par ces plateformes (et échangeront directement leurs cryptomonnaies en liquide de la main à la main, rendant le traçage bien plus complexe), mais en plus peut-on actuellement observer un développement des plateformes qui ne servent plus de tiers de confiance (le dernier exemple en date étant local.bitcoin.com), ce qui les affranchit complètement de devoir garder toute trace des transactions et des usagers qui les font.

Autrement dit, le ministère passe un appel d’offres pour des technologies et des logiciels dont la pertinence sera dans les semaines et les mois à venir extrêmement limitée et dont tout indique qu’ils seront obsolètes très rapidement. Eh oui : encore une fois, une administration va griller une somme considérable d’argent public pour obtenir un résultat à peu près nul.

Peut-on encore s’en étonner ?

Pour résumer cette France du XXIe siècle sous Macron, force est de constater que pendant que le fougueux législateur français déclare sa flamme pour les voyages en train, de préférence aussi écologiques qu’obligatoires surtout s’ils se font au détriment de l’avion, les administrations continuent leur petit bonhomme de chemin vers une mise en coupe totale de l’ensemble du cheptel contribuable.

C’est de plus en plus inquiétant. La seule chose qui rassure un peu, c’est que ces administrations sont globalement incompétentes et ne parviendront pas à leurs fins sans nous faire rire.

C’est toujours ça de pris.