La dénonciation à l’ère de la surveillance

Il y a 2 ans Jonathan Christiani

Cet article est présenté dans « The Inscription Issue » du magazine Bitcoin. Cliquez ici pour obtenir votre abonnement annuel au magazine Bitcoin.
Bitcoin permet l’inscription permanente de données dans les archives publiques. Pourtant, lancer l’alerte sur la blockchain reste une très mauvaise idée.
La fuite d’informations est une affaire risquée. Si vous avez obtenu des informations sensibles – en particulier si vous n'êtes pas censé être en possession de ces informations – vous ne pouvez pas simplement envoyer un e-mail ou le publier sur votre fil Twitter. Si vous le faisiez, avant de vous en rendre compte, vous seriez traqué, identifié et jeté en prison, tandis que les données que vous avez obtenues seraient rapidement supprimées.
En inscrivant des informations sur la blockchain Bitcoin, les données que vous avez obtenues ne peuvent pas être supprimées. Tout comme une transaction Bitcoin est définitive, toute information publiée sur la blockchain l’est également. Toujours là, pour que n'importe qui dans le monde puisse le voir. Mais ce qui ressemble à un excellent plan de fuite d’informations – appelez-le WikiLeaks 2.0 – n’est en réalité pas une idée très intelligente.
La protection des lanceurs d’alerte est de la plus haute importance pour tout éditeur averti. Et ce n’est certainement pas facile. En publiant vous-même des données directement sur la blockchain Bitcoin, vous risquez de manquer des points de données importants qui pourraient vous identifier comme source. Les lecteurs seraient en outre incapables de vérifier la chaîne de traçabilité, ce qui pourrait discréditer votre fuite. De plus, ni Bitcoin ni Internet ne sont des technologies de confidentialité, ce qui pourrait conduire à une fuite de votre identité via divers mécanismes vers le public.

Filigrane et empreintes digitales

De nombreuses grandes entreprises emploient des méthodes pour identifier les sources de fuites, telles que l'analyse des filigranes et des empreintes digitales. Le filigrane est l'acte de modifier une donnée pour la rendre identifiable de manière unique, tandis que les empreintes digitales sont dérivées d'informations inhérentes à la plupart des formes de communication numérique. Les deux sont largement invisibles à l’œil humain.
Une méthode populaire de tatouage est la modification de l’espacement des textes sur les documents accessibles aux employés. L'utilisation de l'espacement du texte pour filigraner des documents a été utilisée par Elon Musk chez Tesla pour identifier l'individu à l'origine d'une fuite de courrier électronique en 2008, qui révélait que l'entreprise ne disposait que de 9 millions de dollars en espèces. Chaque e-mail envoyé à Tesla comporte un espacement de texte légèrement différent, formant une signature binaire permettant d'identifier la source d'une fuite.
Une autre façon de filigraner des documents consiste à utiliser des imprimantes. Encore une fois, généralement invisibles à l'œil nu, la plupart des imprimantes, en particulier les imprimantes laser, forment des motifs en pointillés uniques sur les documents imprimés afin d'identifier l'imprimante sur laquelle un document a été imprimé.

Cliquez sur l'image ci-dessus pour vous abonner !

Ce fut le cas de Reality Winner, qui a divulgué au journal américain The Intercept des informations classifiées sur l’ingérence russe dans les élections américaines de 2016. The Intercept, financé par le fondateur d'eBay et ami du renseignement américain Pierre Omidyar (surnommé « l'un des milliardaires technologiques les plus effrayants » par le journaliste Yasha Levine), a publié les documents de Winner sans supprimer les filigranes du document, ce qui aurait conduit à l'arrestation de Winner. Alors que le filigrane ajoute des modèles identifiables aux données, les empreintes digitales déduisent les modèles identifiables des données. Par exemple, les en-têtes d'images JPEG contiennent généralement des métadonnées uniques donnant des indications sur l'appareil sur lequel une image a été prise, ainsi que l'heure et le lieu de l'image. Les empreintes digitales peuvent également suggérer quelle plate-forme a été utilisée pour communiquer, car la plupart des plates-formes utilisent des mécanismes de compression différenciés pour envoyer des données. À moins que vous ne connaissiez toutes les façons dont un document peut être filigrané et empreintes digitales, divulguer des informations vous-même n'est pas une bonne idée.

Chaîne de traçabilité

L’établissement d’une chaîne de traçabilité est important pour protéger la crédibilité des informations divulguées. Le simple fait d’ajouter des documents à la blockchain n’aidera pas les journalistes à vérifier l’intégrité des informations que vous avez téléchargées, ce qui entraînera probablement le discrédit de votre fuite.
La chaîne de traçabilité est importante pour maintenir les normes éthiques de reporting. Tout comme les forces de l’ordre sont tenues de protéger la chaîne de traçabilité afin de garantir que les preuves n’ont pas été altérées, les journalistes sont censés vérifier toutes les informations qu’ils reçoivent. Cela se fait en établissant l’origine d’un document spécifique et par combien (et à qui) il est passé par la suite. Sans documentation indiquant comment et par qui un document a été traité, les journalistes peuvent difficilement déterminer si une fuite est authentique ou si elle a été falsifiée. Généralement, la chaîne de traçabilité tente de répondre aux questions de savoir qui, quand, pourquoi, où et comment un document a été découvert.
La discréditation est devenue en quelque sorte une profession. Généralement, il existe deux manières de discréditer une fuite : discréditer le fuyard et discréditer la fuite elle-même. Discréditer le fuyard peut impliquer la découverte d'informations indésirables sur une cible, telles que des relations sexuelles ou des problèmes de santé, ou le piégeage pur et simple d'un fuyard pour invoquer la perception de parti pris, en se concentrant sur qui et pourquoi.
Le discrédit des documents s'effectue en grande partie en semant davantage d'incertitude autour de la chaîne de traçabilité d'une fuite. La chaîne de traçabilité pose ici un dilemme, car la suppression des métadonnées pour nous protéger de l'identification rend encore plus difficile l'établissement de qui, quand, pourquoi, où et combien. En criminalistique numérique, l’accent est donc souvent mis sur la question de savoir si les documents semblent authentiques, précis et complets, ainsi que si les documents sont crédibles et explicables. Sans une chaîne de traçabilité établie, l’établissement de l’authenticité, de l’exactitude, de l’exhaustivité, de la crédibilité et de l’explicabilité devient beaucoup plus difficile à déterminer, ce qui rend la discréditation beaucoup plus facile.
Bien que nous puissions nous assurer qu'un document divulgué n'a pas été falsifié après l'avoir ajouté à la blockchain, nous ne pouvons pas répondre aux questions de savoir qui, quand, pourquoi, où et comment, en ce qui concerne le dilemme très mal compris qu'une blockchain ne peut que vérifier. données qu'il a produites lui-même – parfaitement illustrées par Todd Eden en 2018, qui a ajouté une photo de la Joconde à la plateforme artistique basée sur la blockchain VerisArt, se transformant ainsi en Léonard de Vinci vérifié. Cela rend inutile la fuite d’informations sur la blockchain Bitcoin à moins que la diligence raisonnable journalistique ne soit appliquée.

Informations privées sur Internet

Contrairement à l’opinion publique, Bitcoin n’est pas une technologie de confidentialité. Même si vous n’avez établi aucune empreinte digitale dans les documents et suivi les procédures de chaîne de traçabilité, la publication d’informations sur la blockchain publique peut toujours conduire à votre identification.
Le moyen le plus simple de déterminer l’origine d’une fuite consiste à utiliser ce que l’on appelle les super-nœuds. Un supernode est un nœud du réseau peer-to-peer de Bitcoin qui établit des connexions avec autant de nœuds que possible, lui permettant de savoir de quel nœud provient une transaction.
Nous pouvons maintenant penser que l’utilisation du réseau Tor peut suffire à empêcher l’obtention de nos informations privées. Mais comme la surveillance de la blockchain fonctionne en étroite collaboration avec les services de renseignement gouvernementaux – Chainalysis a reçu plus de 3 millions de dollars au cours des deux dernières années du fonds de capital-risque de la CIA In-Q-Tel, tandis que son concurrent Elliptic a été fondé à partir d'un accélérateur du GCHQ – nous devons supposer que la surveillance de la blockchain les entreprises ont accès aux ressources d’adversaires passifs mondiaux.
Un adversaire passif mondial est une entité capable de surveiller l’intégralité du trafic sur un réseau donné. Ce faisant, il est capable de déterminer le moment où un paquet a été envoyé et le moment où il a été reçu, en corrélant son expéditeur et son destinataire. Par exemple, si vous avez utilisé le réseau Tor depuis les États-Unis pour accéder à un site Web aux États-Unis, les États-Unis savent quels sites Web vous avez visités en corrélant le moment des requêtes réseau envoyées et reçues. Parce que les États-Unis sont un adversaire passif à l’échelle mondiale, ils possèdent la capacité de relier le timing des requêtes réseau à l’échelle mondiale.
Pour divulguer des informations en toute sécurité, il est donc conseillé de le faire via le réseau Tor depuis un cybercafé en s'abstenant d'effectuer toute autre requête web. Si vous divulguez un document depuis un cybercafé et que vous vous êtes récemment connecté à votre courrier électronique depuis le même ordinateur, votre identité peut être usurpée même lorsque vous utilisez Tor. Vous ne devez donc jamais utiliser vos propres ordinateurs pour divulguer des informations, car les ordinateurs sont également soumis à des empreintes digitales sur tout le Web, depuis la taille des fenêtres de navigateur utilisées jusqu'aux applications installées. De plus, il est conseillé de visiter les endroits à partir desquels des informations doivent être divulguées tout en laissant votre téléphone à la maison, car les services de renseignement sont en mesure d'obtenir vos enregistrements de localisation. Les États-nations présents ont la capacité de suivre votre position même lorsque votre GPS est désactivé en suivant les requêtes réseau que votre téléphone envoie aux réseaux WiFi que vous traversez.
Malheureusement, il est peu probable de trouver un cybercafé permettant d’installer un nœud Bitcoin. La seule autre façon de divulguer des informations en toute sécurité consiste donc à acheter un ordinateur jetable à usage unique, car l'utilisation du nœud de quelqu'un d'autre divulgue davantage d'informations identifiables à des tiers non fiables. Mais dès que vos appareils personnels et votre ordinateur secret touchent les mêmes réseaux, vous pouvez à nouveau être identifié.

Conclusion

La fuite d’informations est extrêmement importante, surtout lorsqu’il s’agit d’abus de pouvoir. Mais c'est aussi incroyablement dangereux. Utiliser Bitcoin comme plateforme de dénonciation, comme cela a été proposé à plusieurs reprises dans l’écosystème, est une idée terrible compte tenu des risques encourus.
Le réseau Tor est insuffisant pour protéger la vie privée face à des adversaires passifs mondiaux, ce qui rend la publication directe sur la Blockchain incroyablement difficile tout en garantissant la protection de son identité, car le réseau Bitcoin est insuffisant pour protéger les informations personnelles identifiables en général. Les documents peuvent contenir des empreintes digitales invisibles menant à l'identification d'une personne, et l'absence de chaîne de traçabilité entraînera probablement le discrédit de votre fuite.
Il est dangereux de croire que vous êtes à l’abri de la surveillance du gouvernement et des entreprises, car cela conduit à moins de prudence et à des actions plus imprudentes. Il vaut toujours mieux prévenir que guérir. Malheureusement, ce mantra ne semble pas trouver un écho auprès de nombreux Bitcoiners de nos jours.
Cet article est présenté dans « The Inscription Issue » du magazine Bitcoin. Cliquez ici pour obtenir votre abonnement annuel au magazine Bitcoin.

Tags: ,
You may have missed
SBI Holdings a-t-il réellement acquis pour 10 milliards de dollars de XRP ? Le PDG dévoile le montant exact.
Il y a 2 mois Jonathan Christiani
Les actions de Shopify (SHOP) chutent de 11 % malgré des bénéfices élevés. Est-ce le moment d'investir ?
Il y a 2 mois Jonathan Christiani
IA chez Kraken Compliance : automatiser les tâches courantes pour améliorer l'analyse critique
Il y a 2 mois Jérémie Levy
Scott Melker : un retournement soudain du Bitcoin pourrait surprendre les investisseurs
Il y a 2 mois Jonathan Christiani
« Portefeuille Bitcoin de l’ère Satoshi : 2 milliards de dollars en BTC achetés – Que sait-on ? »
Il y a 2 mois Jérémie Levy
bitcoin
Bitcoin (BTC) $ 76,968.00 0.21%
ethereum
Ethereum (ETH) $ 2,305.99 0.83%
tether
Tether (USDT) $ 0.999766 0.02%
xrp
XRP (XRP) $ 1.39 0.22%
bnb
BNB (BNB) $ 625.66 0.27%
usd-coin
USDC (USDC) $ 0.999846 0.01%
solana
Solana (SOL) $ 84.56 0.59%
tron
TRON (TRX) $ 0.322198 0.64%
figure-heloc
Figure Heloc (FIGR_HELOC) $ 1.04 0.95%
staked-ether
Lido Staked Ether (STETH) $ 2,265.05 3.46%
dogecoin
Dogecoin (DOGE) $ 0.100764 1.74%
whitebit
WhiteBIT Coin (WBT) $ 54.51 0.40%
usds
USDS (USDS) $ 0.999762 0.06%
hyperliquid
Hyperliquid (HYPE) $ 40.41 1.51%
leo-token
LEO Token (LEO) $ 10.37 0.04%
cardano
Cardano (ADA) $ 0.248758 0.69%
wrapped-steth
Wrapped stETH (WSTETH) $ 2,779.67 3.22%
bitcoin-cash
Bitcoin Cash (BCH) $ 452.66 1.08%
monero
Monero (XMR) $ 381.16 1.75%
wrapped-bitcoin
Wrapped Bitcoin (WBTC) $ 76,243.00 3.12%
chainlink
Chainlink (LINK) $ 9.30 0.32%
binance-bridged-usdt-bnb-smart-chain
Binance Bridged USDT (BNB Smart Chain) (BSC-USD) $ 0.998762 0.02%
canton-network
Canton (CC) $ 0.14916 0.67%
wrapped-beacon-eth
Wrapped Beacon ETH (WBETH) $ 2,466.93 3.47%
zcash
Zcash (ZEC) $ 335.08 3.62%
stellar
Stellar (XLM) $ 0.162211 1.56%
memecore
MemeCore (M) $ 3.45 6.38%
wrapped-eeth
Wrapped eETH (WEETH) $ 2,465.31 3.39%
usd1-wlfi
USD1 (USD1) $ 0.999725 0.02%
dai
Dai (DAI) $ 0.999662 0.03%
susds
sUSDS (SUSDS) $ 1.08 0.16%
litecoin
Litecoin (LTC) $ 55.75 0.65%
avalanche-2
Avalanche (AVAX) $ 9.23 0.19%
hedera-hashgraph
Hedera (HBAR) $ 0.089795 0.90%
coinbase-wrapped-btc
Coinbase Wrapped BTC (CBBTC) $ 76,366.00 3.12%
ethena-usde
Ethena USDe (USDE) $ 0.999078 0.01%
sui
Sui (SUI) $ 0.930561 0.18%
shiba-inu
Shiba Inu (SHIB) $ 0.000006 0.84%
weth
WETH (WETH) $ 2,268.37 3.40%
rain
Rain (RAIN) $ 0.00747 3.60%
paypal-usd
PayPal USD (PYUSD) $ 1.00 0.05%
the-open-network
Toncoin (TON) $ 1.31 0.13%
usdt0
USDT0 (USDT0) $ 0.998824 0.03%
crypto-com-chain
Cronos (CRO) $ 0.069041 0.74%
hashnote-usyc
Circle USYC (USYC) $ 1.12 0.00%
tether-gold
Tether Gold (XAUT) $ 4,590.29 1.62%
bittensor
Bittensor (TAO) $ 263.07 6.34%
global-dollar
Global Dollar (USDG) $ 0.999748 0.01%
world-liberty-financial
World Liberty Financial (WLFI) $ 0.073402 0.17%
blackrock-usd-institutional-digital-liquidity-fund
BlackRock USD Institutional Digital Liquidity Fund (BUIDL) $ 1.00 0.00%