La blockchain, ce merveilleux outil pour les criminels de tout poil

Atlantico : Un article du site internet Ozy évoque l'épineuse question de l'utilisation de l'utilisation de la Blockchain dans le monde du grand banditisme. Très concrètement comment la Blockchain peut-elle profiter aux crimes ?

Jean-Paul Pinte : Presque personne ne comprend vraiment la technologie blockchain et Il y a aussi une tonne d’incertitude sur la façon dont les gouvernements vont réglementer les blockchains nous signale le rapport du Grand livre distribué (Distributed Ledger Technology ou DLT) / Blockchain.

Cependant, la blockchain est aujourd’hui présentée comme la technologie la plus perturbante depuis Internet.

En effet, comme pour les actes cybercriminels en général, les crimes ne manqueront pas d’exister avec la Blockchain. Sa corruption semble très peu probable, mais non impossible comme l’a montré l’attaque en juin 2016 de la blockchain d’Ethereum. C’est de là que vient la réputation d’infalsifiabilité de la technologie blockchain et sa sécurité sur celle des machines des utilisateurs de la chaîne comme le précise cet article d’Itespresso.

Le plaisir pour les cyber-attaquants autour du blanchiment d'argent, du phishing et du traditionnel piratage ne ferait donc que démarrer.

Plusieurs institutions de lutte contre la criminalité, sociétés privées et universités ont noué un partenariat pour étudier sur trois ans comment la Blockchain est utilisée pour des pratiques frauduleuses.

Ce système décentralisé permettant de se passer d'intermédiaire des banques internationales y travaillent bien sûr au même titre que le monde de l’énergie, celui des droits d’auteurs et bien sûr celui de la santé sans oublier Interpol.

C’est ce que nous révèle un article de Sciences et Avenir. Un consortium international TITANIUM composé de plusieurs sociétés a décidé de lutter contre les usages criminels de la Blockchain.

Les possibilités de diffusion de virus sont possibles via la Blockchain et c’est surtout le cas depuis deux ans comme le précisait les experts sécurité de Kaspersky il y a deux ans.

La même année, en 2015, le rapport TRACFIN (P.69) cite des investigations sur l’utilisation de monnaies virtuelles à des fins de blanchiment de capitaux dont un cas de blanchiment de fonds issus d’un trafic de stupéfiants.

Le cas cité démontre la capacité d’adaptation des criminels aux nouvelles technologies et l’exploitation du potentiel d’anonymat de la monnaie virtuelle. L’absence de régulation et la traçabilité limitée des individus sur les plateformes d’échange de monnaies virtuelles entravent le travail de l’investigation et favorisent l’utilisation de la technologie à des fins frauduleuses.

Si la Blockchain présente des caractéristiques qui pourraient aider à lutter contre la fraude, en proposant des registres publics ou de vastes bases de données TRACFIN signale l’arrivée de Blockchains privées qui pourraient se développer et n’être ouvertes qu’à un nombre défini d’individus, proposant des canaux de transactions privilégiés et difficilement identifiables mais ouvrant la porte à de nouveaux risques.

Dans le monde de la santé aussi IBM Watson et la FDA (Food and Drug Administration) se sont accordés pour tester en binôme, l’échange sécurisé de données médicales grâce à la Blockchain. Désormais, les deux entités peuvent s’échanger les documents suivants : dossiers médicaux électroniques, études cliniques, données génomiques, données issues d’appareils médicaux.

On peut imaginer le type d’attaque ou de détournement qu’il serait possible d’opérer dans ce domaine comme dans bien d’autres …

A ce titre, cet  article évoque quelques exemples d’attaques possibles qui diminueraient la sécurité d’une Blockchain.

Les attaques « Man-in-the-middle-attack » : un « pirate » intercepte et transmet des informations en les modifiant sur la blockchain. Comme les transactions de validité ne sont pas auditées, il est possible d’insérer des transactions invalides qui ont l’air valides dans le registre (le livre de compte).

Les attaques « SYN-Flood » : elles consistent à envoyer des requêtes rapidement et de manière répétée jusqu’à ce que la cible soit saturée et qu’elle n’ait plus assez de puissance pour légitimer et contrôler le trafic.

Les attaques « Sybil » : un agresseur rentre dans le réseau Blockchain grâce à des nœuds qu’il contrôle. Les mineurs associés à ces nœuds sont les siens. Il constitue ainsi un réseau de trafiquants, ce qui facilite ses futures attaques.

Les attaques « Éclipse » : elles provoquent des séparations du réseau en plusieurs groupes. Les utilisateurs d’un groupe ne peuvent joindre ceux d’un autre groupe et les chaînes continuent de s’étendre dans chacun des groupes. Il faut recevoir un bloc d’une chaîne inconnue pour que les utilisateurs prennent conscience de l’existence d’un autre groupe et puissent résoudre ce problème.

Qu'est-ce que les pirates et criminels pourraient atteindre comme objectifs en s'en prenant à ces Blockchain ? Comment serait impactée les sociétés qui reposent sur ces systèmes ?

La Blockchain se doit d’être un nouveau modèle de confiance pour notre société digitalisée. Si cette chaîne de blocs dispose en effet de toutes les qualités de sécurité intrinsèques les objectifs des cyber-attaquants sont bien sûr de s’accaparer des données afin de faire chanter ou encore de détourner des sommes pouvant aller jusqu’à plusieurs dizaines de millions d’euros !

Sur le site du Monde informatique, on peut lire ainsi que The DAO, la première « organisation autonome décentralisée » mettant en œuvre la blockchain d’Ethereum vient d’être délestée d’une grande partie de ses devises virtuelles par l’un de ses utilisateurs, pour un montant de 3 millions d'ETH équivalent alors à plus de 50 M$ (le cours a chuté depuis mettant l'Ether à environ 12 $). L’attaquant a exploité de façon récursive une faille du code de The DAO qui lui a permis de collecter des ethers de façon répétée dans une DOA secondaire (child), explique dans un billet Vitalik Buterin, co-fondateur d’Ethereum, en assurant que ce problème ne touche que The DAO et n’affecte pas la plateforme Ethereum elle-même.

Les vulnérabilités pourraient encore venir aussi  des clés privées dans ce cadre souvent stockée par son propriétaire sur son ordinateur ou téléphone, périphériques aujourd’hui aisément attaquables.

Et ce n’est pas en confiant ces clés à des intermédiaires que l’on pourra diminuer les risques.

Dans le case d’une Blockchain s’appuyant sur des Smart-Contacts le niveau d’interaction avec l’extérieur est plus important puisque ces derniers s’appuient sur la vérification de paramètres d’entrée potentiellement externes au réseau. Il n’est alors plus question de sécuriser seulement les plateformes accédant à la Blockchain, mais également celles accédées par la

Blockchain pour valider les conditions d’une transaction comme le précise cette newsletter de Wavestone.

The DAO, la première « organisation autonome décentralisée » mettant en œuvre la blockchain d’Ethereum vient d’être délestée d’une grande partie de ses devises virtuelles par l’un de ses utilisateurs, pour un montant de 3 millions d'ETH équivalent alors à plus de 50 M$ (le cours a chuté depuis mettant l'Ether à environ 12 $). L’attaquant a exploité de façon récursive une faille du code de The DAO qui lui a permis de collecter des Ethers de façon répétée dans une DOA secondaire (child), explique dans un billet Vitalik Buterin, co-fondateur d’Ethereum, en assurant que ce problème ne touche que The DAO et n’affecte pas la plateforme Ethereum elle-même.

En 2020, 1 développement sur 5 de l’Internet des objets fera appel aux services de la blockchain. Il y a donc à craindre aussi de ce côté car la blockchain ne résout par exemple pas tous les problèmes de sécurité pour les équipements de l’Internet des objets, à l’instar du piratage des appareils pour une utilisation dans les botnets.

Notre société sera fortement impactée si aucune législation n’est mise en place au plus vite. A cet effet, La France est le premier pays européen à adapter son environnement législatif à la Blockchain

Certains secteurs de l’économie pourraient à terme au même titre que les particuliers vivre des situations de blocage (parfois irréversibles)  dans le cadre de leurs activités ou de leurs vies privées.

Quelles sont les méthodes de défenses qui peuvent être utilisées pour rendre ces systèmes encore plus solides ? 

Quel que soit le type de Blockchain (Bitcoin ou autres) toute méthode de défense ne peut aujourd’hui être adaptée et définie par rapport au contexte car nous savons par expérience que les modes opératoires et idées ne manqueront pas au fil du temps d'évoluer dans la tête des cyber-attaquants.

Néanmoins certains secteurs ont commencé à mesurer la nécessité de se parer à toute forme d’attaque comme c’est le monde de l’industrie de la santé en développant des concepts clés comme la cryptographie Bit-string ou encore des contrats intelligents qui autorisent et notarient chaque transaction(*).

La sécurité est aujourd’hui déclinée en quatre grands axes :

-Disponibilité
-Intégrité
-Confidentialité
-Traçabilité

Un article nous aide à voir que la première analyse de la technologie blockchain permet de comprendre qu’elle possède la capacité à répondre à trois des quatre grands axes de la sécurité informatique :

Disponibilité : à travers son caractère distribué (voir exemple ci-après),

Intégrité : à travers l’impossibilité de modifier les données stockées sur la blockchain,

Traçabilité : à travers l’enregistrement et l’accessibilité de toutes les transactions et évènements dans le monde entier.

Pour son auteur, le premier challenge de la Blockchain en termes de sécurité sera de trouver une réponse à l’axe de la confidentialité qui représente un besoin primaire pour les entreprises gérant des données à caractère sensible.