Comment une nouvelle loi américaine pourrait-elle stimuler l’analyse de la blockchain ?
2020 a été une année record pour les paiements de ransomwares (692 millions de dollars), et 2021 sera probablement plus élevée lorsque toutes les données seront disponibles, Chainalysis a récemment signalé. De plus, avec le déclenchement de la guerre entre l’Ukraine et la Russie, l’utilisation des rançongiciels comme outil géopolitique – et pas seulement pour saisir de l’argent – devrait également se développer.
Mais une nouvelle loi américaine pourrait endiguer cette marée montante d’extorsionnistes. Le président américain Joe Biden a récemment signé dans la loi le Strengthening American Cybersecurity Act, ou le projet de loi Peters, obligeant les entreprises d’infrastructure à signaler au gouvernement les cyberattaques importantes dans les 72 heures et dans les 24 heures si elles effectuent un paiement de ransomware.
Pourquoi est-ce important? L’analyse de la blockchain s’est avérée de plus en plus efficace pour perturber les réseaux de ransomwares, comme on l’a vu dans l’affaire Colonial Pipeline l’année dernière, où le ministère de la Justice a pu se remettre 2,3 millions de dollars du total qu’une société pipelinière a versé à un réseau de rançongiciels.
Mais, pour maintenir cette tendance positive, davantage de données sont nécessaires et elles doivent être fournies plus rapidement, en particulier les adresses cryptographiques des malfaiteurs, car presque toutes les attaques de ransomwares impliquer crypto-monnaies basées sur la blockchain, généralement Bitcoin (BTC).
C’est là que la nouvelle loi devrait aider car, jusqu’à présent, les victimes de rançongiciels signalent rarement l’extorsion aux autorités gouvernementales ou autres.
« Ce sera très utile », a déclaré Roman Bieda, responsable des enquêtes sur les fraudes chez Coinfirm, à Cointelegraph. « La possibilité de » signaler « immédiatement des pièces, des adresses ou des transactions spécifiques comme » risquées » […] permet à tous les utilisateurs de repérer le risque avant même toute tentative de blanchiment.
« Cela facilitera absolument l’analyse par les chercheurs en criminalistique de la blockchain », a déclaré Allan Liska, analyste principal du renseignement chez Recorded Future, à Cointelegraph. «Alors que les groupes de ransomwares changent souvent de portefeuille pour chaque attaque de ransomware, cet argent revient finalement dans un seul portefeuille. Les chercheurs en blockchain sont devenus très bons pour relier ces points. Ils ont pu le faire malgré le mélange et d’autres tactiques utilisées par les réseaux de rançongiciels et leurs blanchisseurs d’argent confédérés, a-t-il ajouté.
Siddhartha Dalal, professeur de pratique professionnelle à l’Université de Columbia, était d’accord. L’année dernière, Dalal a co-écrit un article titré « Identifier les acteurs du ransomware dans le réseau Bitcoin » qui décrit comment lui et ses collègues chercheurs ont pu utiliser des algorithmes d’apprentissage automatique de graphes et une analyse de la blockchain pour identifier les attaquants du ransomware avec « 85 % de précision de prédiction sur l’ensemble de données de test ».
Bien que leurs résultats soient encourageants, les auteurs ont déclaré qu’ils pourraient atteindre une précision encore meilleure en améliorant davantage leurs algorithmes et, surtout, « en obtenant plus de données plus fiables ».
Le défi pour les modélisateurs médico-légaux ici est qu’ils travaillent avec des données très déséquilibrées ou biaisées. Les chercheurs de l’Université de Columbia ont pu tirer parti de 400 millions de transactions Bitcoin et de près de 40 millions d’adresses Bitcoin, mais seulement 143 d’entre elles étaient des adresses de ransomware confirmées. En d’autres termes, les transactions non frauduleuses l’emportaient de loin sur les transactions frauduleuses. Avec des données aussi biaisées que cela, le modèle marquera un grand nombre de faux positifs ou omettra les données frauduleuses en pourcentage mineur.
Bieda de Coinfirm a fourni un exemple de ce problème dans une interview l’année dernière :
« Supposons que vous souhaitiez créer un modèle qui extraie des photos de chiens d’une multitude de photos de chats, mais que vous disposiez d’un ensemble de données d’entraînement avec 1 000 photos de chats et une seule photo de chien. Un modèle d’apprentissage automatique ‘apprendrait qu’il est acceptable de traiter toutes les photos comme des photos de chat car la marge d’erreur est [only] 0,001.' »
Autrement dit, l’algorithme « devinerait juste ‘chat’ tout le temps, ce qui rendrait le modèle inutile, bien sûr, même s’il a obtenu un score élevé en termes de précision globale ».
On a demandé à Dalal si cette nouvelle législation américaine aiderait à élargir l’ensemble de données public d’adresses Bitcoin et crypto « frauduleuses » nécessaires pour une analyse plus efficace de la blockchain des réseaux de ransomwares.
« Il n’y a aucun doute à ce sujet », a déclaré Dalal à Cointelegraph. « Bien sûr, plus de données sont toujours bonnes pour toute analyse. » Mais plus important encore, selon la loi, les paiements de rançongiciels seront désormais révélés dans un délai de 24 heures, ce qui permet « une meilleure chance de récupération et également des possibilités d’identification des serveurs et des méthodes d’attaque afin que d’autres victimes potentielles puissent prendre des mesures défensives pour protégez-les », a-t-il ajouté. C’est parce que la plupart des auteurs utilisent ce même logiciel malveillant pour attaquer d’autres victimes.
Un outil médico-légal sous-utilisé
On ne sait généralement pas que les forces de l’ordre bénéficient lorsque les criminels utilisent des crypto-monnaies pour financer leurs activités. « Vous pouvez utiliser l’analyse de la blockchain pour découvrir l’intégralité de leur chaîne d’approvisionnement », a déclaré Kimberly Grauer, directrice de recherche chez Chainalysis. « Vous pouvez voir où ils achètent leur hébergement à toute épreuve, où ils achètent leurs logiciels malveillants, leur affilié basé au Canada », etc. « Vous pouvez obtenir de nombreuses informations sur ces groupes » grâce à l’analyse de la blockchain, a-t-elle ajouté lors d’une récente table ronde Chainalysis Media à New York.
Mais, cette loi, qui prendra encore des mois à mettre en place, va-t-elle vraiment aider ? « C’est positif, ça aiderait », a répondu Salman Banaei, co-responsable des politiques publiques chez Chainalysis, lors du même événement. « Nous avons plaidé pour cela, mais ce n’est pas comme si nous volions à l’aveuglette auparavant. » Cela rendrait-il leurs efforts médico-légaux beaucoup plus efficaces ? « Je ne sais pas si cela nous rendrait beaucoup plus efficaces, mais nous nous attendrions à une amélioration en termes de couverture des données. »
Il reste encore des détails à régler dans le processus d’élaboration des règles avant la mise en œuvre de la loi, mais une question évidente a déjà été soulevée : quelles entreprises devront s’y conformer ? « Il est important de se rappeler que le projet de loi ne s’applique qu’aux » entités qui possèdent ou exploitent des infrastructures critiques « », a déclaré Liska à Cointelegraph. Bien que cela puisse inclure des dizaines de milliers d’organisations dans 16 secteurs, « cette exigence ne s’applique toujours qu’à une petite fraction des organisations aux États-Unis ».
Mais, peut-être pas. Selon à Bipul Sinha, PDG et co-fondateur de Rubrik, une société de sécurité des données, ces secteurs d’infrastructure cités dans la loi inclure services financiers, informatique, énergie, soins de santé, transport, fabrication et installations commerciales. « En d’autres termes, à peu près tout le monde », a-t-il écrit dans un Fortune article récemment.
Autre question : faut-il signaler toutes les attaques, même celles jugées relativement anodines ? L’Agence de la cybersécurité et de la sécurité des infrastructures, où les entreprises feront rapport, a récemment déclaré que même de petits actes pourraient être considérés comme devant être signalés. « En raison du risque imminent de cyberattaques russes […] tout incident pourrait fournir des miettes de pain importantes menant à un attaquant sophistiqué », a déclaré le New York Times. signalé.
Est-il juste de supposer que la guerre rend plus urgente la nécessité de prendre des mesures préventives ? Après tout, le président Joe Biden, entre autres, a soulevé la probabilité de cyberattaques de représailles de la part du gouvernement russe. Mais, Liska ne pense pas que cette préoccupation se soit résolue – pas encore, du moins :
« Les attaques de rançongiciels de représailles après l’invasion russe de l’Ukraine ne semblent pas s’être matérialisées. Comme une grande partie de la guerre, il y avait une mauvaise coordination de la part de la Russie, de sorte que tous les groupes de rançongiciels qui auraient pu être mobilisés ne l’ont pas été.
Pourtant, près des trois quarts de tout l’argent gagné grâce aux attaques de ransomwares sont allés à des pirates informatiques liés à la Russie en 2021, selon à Chainalysis, donc une montée en puissance de l’activité à partir de là ne peut être exclue.
Pas une solution autonome
Les algorithmes d’apprentissage automatique qui identifient et suivent les acteurs des ransomwares à la recherche d’un paiement blockchain – et presque tous les ransomwares sont compatibles avec la blockchain – vont sans aucun doute s’améliorer maintenant, a déclaré Bieda. Mais les solutions d’apprentissage automatique ne sont que « l’un des facteurs soutenant l’analyse de la blockchain et non une solution autonome ». Il existe toujours un besoin critique « d’une large coopération dans l’industrie entre les forces de l’ordre, les sociétés d’enquête sur la blockchain, les fournisseurs de services d’actifs virtuels et, bien sûr, les victimes de fraude dans la blockchain ».
Dalal a ajouté que de nombreux défis techniques subsistent, principalement en raison de la nature unique du pseudo-anonymat, expliquant à Cointelegraph :
« La plupart des blockchains publiques sont sans autorisation et les utilisateurs peuvent créer autant d’adresses qu’ils le souhaitent. Les transactions deviennent encore plus complexes puisqu’il existe des gobelets et autres services de mixage qui sont capables de mélanger de l’argent souillé avec beaucoup d’autres. Cela augmente la complexité combinatoire de l’identification des auteurs qui se cachent derrière plusieurs adresses.
Plus de progrès ?
Néanmoins, les choses semblent évoluer dans le bon sens. « Je pense que nous faisons des progrès significatifs en tant qu’industrie », a ajouté Liska, « et nous l’avons fait relativement rapidement. » Un certain nombre d’entreprises ont fait un travail très innovant dans ce domaine, « et le Département du Trésor et d’autres agences gouvernementales commencent également à voir la valeur de l’analyse de la blockchain ».
D’un autre côté, alors que l’analyse de la blockchain fait clairement des progrès, « il y a tellement d’argent gagné grâce aux ransomwares et au vol de crypto-monnaie en ce moment que même l’impact de ce travail est pâle par rapport au problème global », a ajouté Liska.
Bien que Bieda constate des progrès, il sera toujours difficile d’amener les entreprises à signaler les fraudes à la blockchain, en particulier en dehors des États-Unis. « Au cours des deux dernières années, plus de 11 000 victimes de fraude dans la blockchain ont atteint Coinfirm via notre site Web Reclaim Crypto », a-t-il déclaré. « L’une des questions que nous posons est : ‘Avez-vous signalé le vol aux forces de l’ordre ?’ – et de nombreuses victimes ne l’avaient pas fait.
Dalal a déclaré que le mandat du gouvernement est un pas important dans la bonne direction. « Cela changera sûrement la donne », a-t-il déclaré à Cointelegraph, car les attaquants ne pourront pas répéter l’utilisation de leurs techniques préférées, « et ils devront se déplacer beaucoup plus rapidement pour attaquer plusieurs cibles. Cela réduira également la stigmatisation attachée aux attaques et les victimes potentielles pourront mieux se protéger.