- CRYPTOMANCIEN
- Posts
- Les enquêteurs ont-ils désanonymisé Monero ?
Les enquêteurs ont-ils désanonymisé Monero ?
Cryptomancien
February 02, 2024
Amis lecteurs,
Monero fait beaucoup parler depuis quelques jours.
Les titres “pute à clic” fusent dans tous les sens.
Apparemment des enquêteurs ont retracé les transactions d’un hacker malgré son utilisation de Monero.
On va rapidement démêler le vrai du faux.
Interesting day in Finland. #vastaamo
— Joe Tidy (@joetidy)
4:54 PM • Jan 19, 2024
Le 21 octobre 2020, une société de psychothérapie nommée Vastaamo est victime d’un vol de sa base de données.
Vastaamo est ensuite contacté par un maître-chanteur, “ransom_man”.
Ce dernier menace de publier la liste des patients si une rançon de 40 bitcoin (450 000€ à l’époque) n’est pas payée.
Sur un forum du dark web, “ransom_man” déclare que la société Vastaamo refuse de céder au chantage et ne payera pas.
Il décide de rançonner individuellement 28 000 patients avec le mail suivant:
[Madame/Monsieur] [Nom] [Prénom] [Date]
Comme vous l’avez probablement appris aux journaux, nous avons cassé la base de données médicale de l’agence, nous vous contactons parce que vous avez utilisé les services de thérapie et/ou psychiatriques fournis par le Centre.
Parce que la direction de l’entreprise a refusé de prendre la responsabilité de ses erreurs, nous regrettons de devoir vous demander de payer pour garder vos informations personnelles à l’abri.
Veuillez suivre les instructions suivantes pour envoyer du Bitcoin à notre adresse.
Si nous recevons 200€ de Bitcoin en moins de 24 h, vos données seront supprimées de nos serveurs.
Si nous n’avons pas reçu le paiement avant 24 h, vous avez encore 48h pour acquérir et nous envoyer 500€ de Bitcoin.
Si nous n’avons pas encore reçu notre argent après cette période, vos détails seront publiés avec votre nom, adresse, téléphone, numéro de sécurité sociale
Le 23 octobre 2020, “ransom_man“ publie sur un forum un gros fichier contenant une copie de la base de données.
Le fichier contient aussi des informations compromettantes sur lui: son dossier personnel, ses clés SSH, ses knows-host (liste de serveurs utilisés lors d’une connexion directe).
Les soupons convergent vers un certain Julius “Zeekill“ Kivimaki, hacker connu à l'âge de 17 ans pour 50 000 cybercrimes (violations de données, fraudes bancaires, exploitations de bots…).
Un enquêteur a déclaré ceci:
“Je n'ai rien trouvé qui permettrait de relier directement ces données à un individu, mais il y avait suffisamment d'indicateurs là-dedans pour me mettre le nom en tête et je ne pouvais pas m'en débarrasser.”
“Quand ils l'ont désigné comme principal suspect, je n'ai pas été surpris.”
L’analyse on-chain
L’analyse on-chain n’a pas encore commencé mais “ransom_man” est déjà identifié.
La première question à se poser est quelle adresse Bitcoin envoie-t’il par mail à ses victimes ?
Plusieurs hypothèses:
il envoie la même adresse personnelle aux 28 000 personnes
il a un wallet HD (Hierarchical Deterministic) et envoie une adresse publique différente par mail
il a un compte sur un exchange et envoie l’adresse de l’exchange
La deuxième hypothèse est très peu probable.
Le maître-chanteur doit faire l’association entre les adresses Bitcoin et les adresses mail.
Trop de temps, trop d’énergie.
La première hypothèse est possible.
Il a peut-être un wallet personel, probablement Electrum dont on fera un tutorial.
Mais en y réfléchissant, il pratique souvent le vol et l’extorsion sur Internet, ce qui n’est pas très impressionnant sur le plan technique.
En plus il ne vérifie même pas le dossier compromettant qu’il publie lui-même.
La troisième hypothèse est la plus probable.
Il y a des hackers brillants, dont celui-là ne fait pas partie, mais la plupart aiment la facilité.
C’est très peu probable qu’il ait son propre nœud et sa propre clé privée.
Il a très certainement envoyé par mail l’adresse Bitcoin de son exchange, puis swapé en Monero.
Jusque-là tout va bien.
Selon Cointelegraph, il a ensuite transféré les fonds vers un wallet Monero personnel pour casser la traçabilité.
Pour l’instant c’est un sans faute.
Et à partir de son wallet personnel, il a transféré les fonds en Monero sur un autre exchange.
Mais alors comment il s’est fait choper ?
Je vais vous le dire…
Il a merdé sur les montants !
Supposons qu’il extorque l’équivalent de 100 000$ en Bitcoin à ses victimes
(on va prendre un chiffre rond pour l’exemple).
Les enquêteurs ont son adresse, ils voient sur un exploreur un gros transfert de l’équivalent 100 000$.
Ensuite sur un exchange, dans la paire BTC/XMR, un gros ordre de vente inhabituel de 100 000$ apparaît.
Tout est public sur les exchanges, à commencer par les carnets d’ordre et les historiques.
La première plateforme lui envoie 100 000$ de Monero, il fait ses transferts sur plusieurs wallets, puis envoie d’un coup ses 100 000$ de Monero à une seconde plateforme.
Il va sur la paire BTC/XMR et fait un gros ordre d’achat de l’équivalent de 100 000$.
Et à mon avis, il a fait tout ça sur un court laps de temps (sans doute le même jour).
Résumé
En résumé, les enquêteurs n’ont pas cassé le protocole Monero.
Ils ont observé les données publiques des exchanges et la redondance d’un certain montant sur la même paire BTC/XMR.
Gros ordre de vente inhabituel d’un certain montant d’un côté, gros ordre d’achat inhabituel du même montant de l’autre côté.
Dernière étape de l’enquête: demander aux 2 plateformes l’IP du compte à l’origine de ces ordres et éventuellement l’empreinte navigateur
(on fera un tutoriel dessus).
Conclusion
Petite précision: on a encore à ce stade relativement peu d’infos.
Ce scénario reste donc du domaine de l’hypothèse.
Si vous avez des questions, vous pouvez les poser sur mon canal Telegram.
À la semaine prochaine,
Cryptomancien
Disclaimer: ceci n’est pas un conseil en investissement ou un appel à commettre un acte répréhensible, tout ça tout ça…