Blockchain & cryptofinance

L’actualité des fabricateurs 2019-VII, Spécial Blockchain.

Au programme :

 

  • La « désanonymisation » des utilisateurs du Bitcoin sur le Dark web, par Pierre Legros
  • L’encadrement des actifs numériques : la concrétisation des Bermudes, par Mehdi Kimri
  • Stablecoins : un rapport du G7 exige la compatibilité des registres distribués avec le droit à l’oubli, par Jérémie Caffin

La « désanonymisation » des utilisateurs du Bitcoin sur le Dark web

Par Pierre Legros

L’actualité a été marquée par le démantèlement de la plus grande plateforme pédopornographique du Dark web, Welcome to Video, rendu possible grâce à la « désanonymisation » des transactions Bitcoin par les autorités américaines.

Lancé en 2015, Welcome to Video était l’un des premiers sites pédopornographiques à s’appuyer sur la cryptomonnaie Bitcoin pour vendre, de façon « anonyme », l’accès à plus de 250 000 contenus vidéos. L’anonymat était en outre garanti par le fait que ce site reposait sur le réseau anonyme TOR – acronyme de « The Onion Router » – qui permet, non seulement, de créer un site avec un protocole masquant l’identité de l’hôte du site et son emplacement, mais également de dissimuler les adresses IP des utilisateurs. Toutefois, selon Don Fort, le chef de la section criminelle de l’Internal Revenue Service – entité rattachée au département du Trésor des États-Unis – : « La capacité de notre agence à analyser la blockchain et à désanonymiser les transactions bitcoin a permis d’identifier des centaines de prédateurs à travers le monde »[6].

Cette affirmation invite à s’interroger sur la faisabilité technique en matière de « désanonymisation » des transactions Bitcoin car, de cette question technique, pourrait découler de nombreuses conséquences juridiques, notamment en matière de protection des données personnelles.

Des arrestations permises grâce au traçage de Bitcoins. – Le Bitcoin a longtemps été considéré comme étant « la monnaie anonyme du dark web ». Sur le principe, le Bitcoin est réputé pour être un moyen de paiement anonyme: d’une part, les utilisateurs peuvent détenir plusieurs adresses Bitcoin; d’autre part, leur porte-monnaie n’est pas nécessairement lié à leur nom, adresse ou autres informations d’identification personnelle. Autrement dit, le Bitcoin ne répond pas aux normes de sécurité KYC – « Know Your Customer » –. Cette monnaie assure, de plus, un certain niveau de confidentialité à ses utilisateurs grâce au chiffrement asymétrique des opérations et l’existence des clés privées et publiques.

Toutefois, il convient de rappeler que le Bitcoin repose sur une blockchain publique, dont l’un des principes caractéristiques est la transparence. Ainsi, en accédant au registre public des transactions, il est possible de connaître l’origine des fonds transférés, le montant et le portefeuille destinataire. Par conséquent, toutes les transactions depuis et vers une adresse donnée précise peuvent être suivies. L’anonymat est donc assez relatif, il serait plus juste de considérer le Bitcoin comme étant pseudo-anonyme.

En l’espèce, les forces de l’ordre américaines ont envoyé de petites quantités de Bitcoin aux portefeuilles du site Welcome to Video. Comme la chaîne de blocs Bitcoin laisse toutes les transactions visibles et vérifiables, ils ont ainsi pu « suivre l’argent » et observer que la monnaie de ces portefeuilles était transférée dans un autre portefeuille suspect.

Le recours à des exchanges réduit d’autant plus l’anonymat des utilisateurs du Bitcoin. – Le fait d’acheter ou de vendre des Bitcoins contre une monnaie fiduciaire nécessite de passer par des plateformes d’échanges de gré à gré (exchange) ou par l’intermédiaire d’un courtier (broker). Or, la loi américaine exige que ces plateformes d’échange de devises cryptographiques recueillent des renseignements sur les clients et vérifient leur identité.

En l’espèce, il a donc été possible, pour les autorités américaines, d’identifier le portefeuille Bitcoin suspect, de remonter de transactions en transactions jusqu’à l’opération de conversion, puis de demander à l’opérateur, ayant réalisé la conversion, de fournir l’identité du client. Les forces de l’ordre ont ainsi appris que le deuxième portefeuille était enregistré au nom d’un ressortissant coréen, avec son numéro de téléphone personnel et l’une de ses adresses électroniques personnelles. Grâce à une collaboration des autorités coréennes, il a ainsi été possible d’arrêter l’instigateur et opérateur principal du site en Corée du Sud.

Une “réidentification” permise grâce à l’emploi de technologies de cartographie. – Les autorités américaines ont également collaboré avec la firme d’analyse de chaînes de blocs, Chainalysis, pour cartographier les transactions des utilisateurs avec le site litigieux et tenter d’identifier ces personnes. En dressant une carte du réseau des portefeuilles Bitcoin unique assignés aux utilisateurs du site, complétée par les portefeuilles connexes ayant des liens transactionnels avec ces comptes, les agents ont pu identifier de nombreux utilisateurs ayant effectué des échanges de devises cryptographiques aux États-Unis pour payer leur abonnement sur Welcome to Video. De telles collaborations entre autorités et technologie se démocratisent et sont appelées à croître face à la multiplication des projets de grande ampleur en matière de cryptomonnaie, et plus particulièrement des stablecoins.

Le développement de « secret money », un palliatif pour le dark web ? – Le Bitcoin n’est donc pas une monnaie garantissant un parfait anonymat à ses utilisateurs, tout comme la majorité des cryptomonnaies fonctionnant avec une blockchain publique transparente. Néanmoins, des projets de « secret money » sont actuellement en cours de développement. A titre d’illustration, le protocole ZCash propose une monnaie où l’anonymat des transactions est total. En effet, un utilisateur de ZCash peut choisir de cacher l’origine, le montant et/ou le destinataire de la transaction. Toutefois, grâce au concept de preuve sans connaissance (« zero knowledge proof »), le protocole ZCash permet de garantir que l’évènement (la transaction) a bien eu lieu, sans fournir d’informations à son sujet (origine, destination, montant). Ces “secret money” apparaissent parfaitement adaptées aux transactions du dark web, et complexifient les enquêtes en la matière. Cela explique l’intérêt porté par l’Union européenne à l’éventuelle mise en place d’une législation visant à limiter l’anonymat des portefeuilles et à renforcer la collaboration avec les différents opérateurs (au travers son projet TITANIUM – pour « Tools for the Investigation of Transactions in Underground Markets » (« Outils pour l’investigations des transactions dans les marchés parallèles » (Voy. en ce sens le projet TITANIUM – pour « Tools for the Investigation of Transactions in Underground Markets », « Outils pour l’investigations des transactions dans les marchés parallèles »)


Sources
 :

 

L’encadrement des actifs numériques : la concrétisation des Bermudes

Par Mehdi Kimri

Tandis que les initiatives d’application des cryptoactifs en matière fiscale se multiplient, les incertitudes quant à la régulation de ces dernières demeurent. En novembre 2018, l’Etat de l’Ohio était devenu le premier Etat américain à permettre à ses entreprises de payer leurs impôts en bitcoin par le biais de la plateforme OhioCrypto.com. Moins d’un an après son ouverture, la plateforme a été clôturée en raison des incertitudes concernant la qualification juridique de BitPay, système de service de paiement en bitcoin. Le principe en était simple: les entreprises réglaient leurs taxes en bitcoins, BitPay se chargeait ensuite de les convertir en dollars américains et de les transferer dans les caisses de l’administration concernée. Selon le Trésorier de l’Ohio, R. Sprague, celui-ci fonctionnait comme un « dispositif de transaction financière » et devait donc être « sélectionné via un processus de mise en concurrence et autorisé par le State Board of Deposit » conformément à l’article §114.40 de L’Ohio Revised Code[1]

Le 16 octobre 2019, le gouvernement des Bermudes a annoncé qu’il était désormais possible de payer « taxes, redevances et autres services gouvernementaux » en USD Coin, un stablecoin indexé sur le dollar américain et fonctionnant sur la blockchain Ethereum[2]. L’attrait des Bermudes pour la technologie Blockchain et les actifs numériques n’est pas nouveau. Rappelons qu’en avril 2018, le gouvernement avait conclu un partenariat avec Binance, l’une des plus grandes plateformes d’échange de cryptomonnaies au monde[3] pour le développement de la technologie sur le territoire insulaire.

Cette affaire conduit à préciser le cadre technique et juridique entourant l’utilisation des cryptoactifs au sein de la juridiction bermudienne, qui pourrait inspiré d’autres Etats.

L’USDC lève la barrière de la volatilité. – Initié par la société Circle en septembre 2018, l’USDC est un jeton de type ERC-20 basé sur la blockchain publique Ethereum et indexé sur le dollar américain. Techniquement, l’USD Coin est un stablecoin « garantie fiat ». Autrement dit, chaque token mis en circulation correspond à une unité de monnaie fiduciaire, en l’espèce le dollar américain. L’usage d’un tel stablecoin conduit ainsi à lever la barrière de la volatilité, frein majeur à l’adoption des cryptomonnaies par les acteurs institutionnels.

Le Digital Assets Business Act (2018) : cadre législatif de référence. – L’Archipel des Bermudes a, en 2018, voté le Digital Assets Businness Act (DABA) offrant un cadre juridique clair pour le développement de la crypto-économie sur l’archipel.

S’agissant du DABA, il prévoit un régime d’agrément pour les entreprises souhaitant effectuer des activités d’actifs numériques. Il dispose « qu’aucune personne ne peut exercer d’activité d’actifs numérique aux Bermudes, à moins que celle-ci ne soit une entreprise désignée dans une des classes spécifiées au paragraphe 12(3) » (paragraphe 10(1) – Part 2 Licensing).

Parmi les licences spécifiées par le DABA, il est possible d’en distinguer deux, en fonction notamment de la durée (déterminée ou non) de l’autorisation. Le paragraphe 12(3) distingue ainsi :

  • La classe F permettant à une personne d’exercer l’une ou l’ensemble des activités d’actifs numériques;
  • La classe M permettant à une personne d’exercer l’une ou l’ensemble des activités d’actifs numériques pour une période déterminée par l’Autorité de contrôle.

A ce titre, la société Circle, émettrice de l’USDC utilisé dans le cadre du paiement des taxes, a obtenu une licence de classe F, lui permettant d’exercer l’ensemble des activités d’actifs numériques visées par le paragraphe 10(2) du DABA, autrement dit :

  • Emettre, vendre ou racheter des monnaies virtuelles, des jetons ou toute autre forme de paiement;
  • Opérer comme une entreprise de service de paiement utilisant des actifs numériques comprenant la fourniture de services pour le transfert de fonds;
  • Fonctionner comme une plateforme d’échange électronique;
  • Fournir des services de portefeuilles d’actifs numériques;
  • Opérer en tant que vendeur de services d’actifs numériques.

L’ensemble de ces régimes d’agréments demeurent sous le contrôle de l’Autorité monétaire des Bermudes créée à la suite de l’entrée en vigueur du Bermuda Monethary Authority Act (1969).

Cette liste n’est pas sans rappeler celle énoncée par l’article L.54-10-2 du Code monétaire et financier français, lui-même issu de la loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises. Le DABA, comme la loi PACTE, semble institutionnaliser une nouvelle catégorie d’acteurs. Ces nouveaux acteurs financiers sont soumis à un régime sui generis et doté d’un statut tout aussi spécifique, celui de prestataires d’actifs numériques (selon la dénomination française).

Le réseau Ethereum : La « démocratisation » de la technologie blockchain. – Comme évoqué précédemment, le gouvernement des Bermudes a fait le choix de l’USDC, un stablecoin fonctionnant sur la blockchain Ethereum. En tant que blockchain publique, Ethereum offre davantage de garanties aux autorités de contrôle concernant, notamment, les risques de fraudes. Bien moins élevés que sur des blockchain privées ou permissionnées, en raison d’une décentralisation accrue (Les blockchains publiques à la conquête du monde financier traditionnel https://dl4t.org/actualites-des-fabricateurs-semaine-ix/), Ethereum permet de réduire le risque de concentration de la gouvernance.

L’usage croissant des cryptoactifs, par les acteurs économiques et institutionnels comme les Bermudes, invite législateurs et régulateurs à se positionner. Un cadre général devra nécessairement  se fonder sur la coopération des différentes « instances de normalisation »[4]. A défaut,  le risque est celui d’un accroissement de régimes juridiques concurrents. Lors du dernier sommet du G7 la question de l’encadrement des stablecoins a fait l’objet d’une étude de risque et conduit à des recommandations. Dans ses conclusions préliminaires, le groupe du travail souligne en ce sens la nécessité de faire reposer les projets de stablecoins sur les « normes les plus élevées de réglementation financière, en particulier en matière de lutte contre le blanchiment et de financement du terrorisme […] »[5].


Sources :

 

Stablecoins : un rapport du G7 exige la compatibilité des registres distribués  avec le droit à l’oubli

Par Jérémie Caffin

Le 17 octobre 2019, le rapport Coeuré a été remis aux ministres des finances du G7. Le groupe d’États avait en effet manifesté des inquiétudes relatives aux différents projets de stablecoins en juillet 2019, dont le projet Libra de Facebook. Ce rapport constitue un nouveau coup dur pour Facebook : le groupe de travail estime qu’aucun projet de stablecoins ne devrait être mis en œuvre tant que les risques juridiques et réglementaires ne sont pas suffisamment identifiés et encadrés. Le rapport affirme que les règles pertinentes en matière de protection des données s’appliqueront aux opérateurs de stablecoins. Il insiste en outre sur le fait que l’utilisation d’un registre distribué doit être compatible avec des principes juridiques tels que le droit à l’oubli.

  • La difficile conciliation de la blockchain et du droit à la protection des données personnelles

Une telle exigence n’est pas anodine puisque le droit à l’oubli est difficilement compatible avec le droit à l’oubli prévu à l’article 17 du Règlement Européen sur la Protection des Données à caractère personnel nᵒ 2016/679 dit « RGPD ». En effet, les stablecoins, reposent sur la technologie blockchain. Il s’agit d’un registre distribué sur lequel « il serait impossible de supprimer un contenu illicite ou inadéquat sans une action coordonnée de la majorité noeuds individuels ». En se demandant comment un individu qui a opéré une transaction gênante dans le passé pourrait légitimement solliciter sa suppression du registre bitcoin, Primavera De Fillipi met en lumière les problèmes technico-juridiques soulevés par la blockchain. La Commission Nationale d’Informatique et Libertés (CNIL) s’est également saisie de la question dès 2018. Elle admet que le droit à l’oubli est incompatible avec les propriétés techniques de la blockchain mais des moyens techniques permettent toutefois de rendre les contenus quasiment inaccessibles dès lors qu’ils sont issus d’une fonction de hachage à clef, ou d’un chiffrement utilisant un algorithme. Il s’agit ainsi d’une compatibilité par les effets, dont l’équivalence avec les exigences du RGPD doit être appréciée au cas par cas.

Il fut longtemps considéré que le réseau Bitcoin ne permettait pas l’identification des utilisateurs du réseau ni ne donnait d’information sur le contexte général de la transaction. En réalité, les données n’y sont pas anonymisées mais pseudonymisées. Il est donc possible de surveiller les chaînes de transaction, d’en connaître le contenu et d’en identifier les parties comme le montre le démantèlement récent d’un réseau pédophile aux Etats-Unis. L’Union européenne souhaite quant à elle que les cellules de renseignement financier de ses Etats membres soient « en mesure d’obtenir des informations leur permettant d’associer les adresses correspondant à la monnaie virtuelle à l’identité du propriétaire de la monnaie virtuelle » afin de lutter contre la criminalité. A cette fin, un appel d’offres a été lancé par le Ministère français de l’Intérieur pour que l’Etat puisse s’équiper d’outils spécialisés dans l’analyse des transactions en cryptomonnaies.

  • La preuve à divulgation nulle de connaissance : vers une solution ?

Selon le rapport du Sénat intitulé « Comprendre les blockchains : fonctionnement et enjeux de ces nouvelles technologies », un compromis entre la blockchain et le droit à la protection des données personnelles pourrait reposer sur un protocole cryptographique intitulé « zero knowledge proof ». Celui-ci ne renseigne ni l’identité de l’émetteur de la transaction, ni celle du destinataire. La véracité de l’information y est prouvée grâce à une démonstration mathématique qui ne révèle pas le contenu de l’information. Les stablecoins pourraient donc reposer sur un tel protocole afin de garantir la vie privée de leurs utilisateurs. Les cryptomonnaies, qui utilisent ce système de preuve sans divulgation de connaissance, rendent ainsi la désanonymisation des transactions plus délicate que celles effectuées sur le réseau Bitcoin.

Cependant, cette solution technique semble limitée puisque sa conception ne permet pas l’application du droit à l’oubli. Si les données transactionnelles sont réellement anonymisées sans risque de réidentification, les exigences du RGPD en matière de droit à l’oubli seraient contournées. Les demandes de déréférencement sont en effet conditionnées à la divulgation des éléments d’identité d’une personne.

 

Sources :

 

 

[1] http://www.ohiotreasurer.gov/News/16240, consulté le 25 octobre 2019

[2] https://www.coindesk.com/bermuda-now-accepts-usdc-crypto-for-taxes-and-government-services, consulté le 25 octobre 2019

[3]  http://bernews.com/2018/04/live-video-premier-david-burt-press-conference-2/, consulté le 25 octobre 2019

[4] G7 Chair’s Summary : https://www.finyear.com/attachment/1628770/ (consulté le 28 octobre 2019)

[5] Ibid.

[6] B. TERRASSON, « Une gigantesque plateforme pédopornographique démantelée en désanonymisant les transactions bitcoin » [en ligne], Siècle Digital, 16 octobre 2019, [consulté le 22 octobre 2019], https://siecledigital.fr/2019/10/16/gigantesque-plateforme-pedopornographique-demantelee-desanonymisant-transactions-bitcoin/.