Ce sont les chercheurs Dillon Reisman, Steven Goldfeder, Harry Kalodner et Arvind Narayanan de l'Université de Princeton qui ont démontré que le suivi en ligne effectué par des tiers fournit suffisamment d'informations pour identifier une transaction sur une blockchain, la lie au cookie de l'utilisateur et finalement à l'identité réelle de l'utilisateur.
« En fonction des cookies de suivi, la transaction peut être liée aux activités de l'utilisateur sur le Web. Et sur la base de techniques connues de clustering d'adresses Bitcoin, elles peuvent être liées à leurs autres transactions Bitcoin », ont-ils expliqué.
Ajoutez à cela le fait que de nombreux commerçants sont en mesure d’obtenir les informations sensibles des utilisateurs (PII, en gros des informations qui, couplées à d’autres ou non, peuvent permettre d’identifier, contacter ou localiser un individu dans le contexte) via des traceurs, s'il devient évident que les traceurs peuvent facilement lier une transaction au profil Web et à l'identité d'un utilisateur cela vient sérieusement compromettre l’idée d’anonymat que pourrait offrir des méthodes comme CoinJoin.
« Nous avons montré qu'une petite quantité d'informations supplémentaires, à savoir que deux (ou plus) transactions qui ont été faites par la même entité, est suffisante pour annuler l'effet du mélange. Bien que de telles informations auxiliaires soient disponibles pour de nombreuses entités potentielles (les commerçants, les autres contreparties telles que les sites Web qui acceptent les dons, les intermédiaires tels que les processeurs de paiement et potentiellement des écoutes de réseau) les traceurs Web sont en position idéale pour effectuer cette attaque », ont souligné les chercheurs.
Ils ont également analysé les sites Web de 130 marchands en ligne qui acceptent les bitcoins comme moyen de paiement et ont constaté que :
- 53 des 130 ont fait fuiter des informations de paiement à des tiers (principalement intentionnellement, à des fins de publicité et d'analyse) ;
- 17 des 130 envoient l'adresse de Bitcoin ou le prix BTC à un tiers ;
- 43 des 130 envoient à des tiers des sortes de données de prix non BTC ;
- 28 des 130 ont partagé des ajouts faits au panier avec des tiers ;
- 49 des 130 échappent à une certaine forme de PII à un total de 137 tiers, et 21 de ces tiers reçoivent également des informations pertinentes relatives aux transactions.
Comment les utilisateurs peuvent-ils se protéger?
L'utilisation d'extensions de navigateur telles que uBlock Origin, Adblock Plus ou Ghostery pour bloquer les traceurs ne fournit pas une protection complète, en particulier si l'adversaire est un réseau d'écoute ou le processeur de paiement. Et l'utilisation de techniques de mélange améliorées, telles que le multi-round mixing, n'est que partiellement efficace.
Pour l'instant, les chercheurs croient que le fait de passer à l'utilisation d'une autre monnaie électronique est une meilleure option.
« Contrairement à l'approche de l’anonymat faite par le Bitcoin en tant que superposition, d'autres monnaies électroniques assurent la confidentialité dans le protocole, et promettent l'absence de traçabilité des transactions » , ont-ils noté.
« Les plus connus sont Zcash, basé sur le protocole Zerocash, et Monero, basé sur le protocole Cryptonote. Zcash est plus coûteux en termes de calcul, mais présente des propriétés de sécurité plus rigoureuses. Parmi les deux, Monero a plus de soutien aux fournisseurs au moment de la rédaction, mais encore beaucoup moins que Bitcoin ou même Litecoin, et principalement sur des sites de services cachés commercialisant des produits illicites. Alors que certaines faiblesses d'anonymat ont récemment été révélées dans Monero, nous croyons qu'elle n'est pas susceptible de tomber sous une attaque de type cluster intersection. »
Source : résultat de l'étude (au format PDF)
Et vous ?
Avez-vous déjà effectué des paiements en ligne avec une monnaie électronique ?
Si oui, quelle en était la principale raison ?