Qu'est ce qu'une attaque par saupoudrage
Accueil
Articles
Qu'est ce qu'une attaque par saupoudrage

Qu'est ce qu'une attaque par saupoudrage

Intermédiaire
Publié le Nov 28, 2018Mis à jour le Aug 17, 2023
5m
Une attaque par saupoudrage (ou “Dusting Attack” en anglais, un terme pour le moment peu traduit en français) fait rĂ©fĂ©rence Ă  un type relativement nouveau d’activitĂ©s malveillantes par lesquelles des pirates informatiques et des escrocs tentent de violer la vie privĂ©e des utilisateurs de Bitcoin et de crypto-monnaie en envoyant de trĂšs petites quantitĂ©s de coins dans leur portefeuille personnel. L’activitĂ© transactionnelle de ces portefeuilles est ensuite dĂ©tectĂ©e et suivie par les attaquants, qui effectuent une analyse combinĂ©e de plusieurs adresses afin de tenter d’identifier la personne ou l’entreprise se trouvant derriĂšre chaque portefeuille.


Définition de la poussiÚre ou résidu

Dans le langage des crypto-monnaies, le terme "poussiĂšre" ou Ă©galement “rĂ©sidu” dĂ©signe une quantitĂ© infime d’un coin ou d’un token - une quantitĂ© si faible que la plupart des utilisateurs ne le remarquent mĂȘme pas ou l’ignorent simplement. En prenant le Bitcoin comme exemple, la plus petite unitĂ© de la monnaie BTC est 1 satoshi (0,00000001 BTC), nous pouvons donc utiliser le terme de “poussiĂšre” pour dĂ©signer de toutes petites sommes comme quelques centaines de satoshis.

Dans les Ă©changes de crypto-monnaie, la poussiĂšre est Ă©galement le nom donnĂ© Ă  de petites quantitĂ©s de coins qui "restent bloquĂ©es" sur les comptes des utilisateurs aprĂšs l'exĂ©cution des ordres de trading. Ces dĂ©pĂŽts de poussiĂšre, ou rĂ©sidus de transactions, ne peuvent pas ĂȘtre tradĂ©s, mais les utilisateurs de Binance peuvent les convertir en BNB.

En ce qui concerne le Bitcoin, il n’existe pas de dĂ©finition officielle de la poussiĂšre, car chaque implĂ©mentation logicielle (ou client) va considĂ©rer un seuil diffĂ©rent. Bitcoin Core dĂ©finit ainsi la poussiĂšre comme toute sortie de transaction infĂ©rieure aux frais de cette transaction, ce qui conduit au concept de “limite de poussiĂšre”.

Techniquement, la limite de poussiĂšre est calculĂ©e en fonction de la taille des entrĂ©es et des sorties, ce qui correspond normalement Ă  546 satoshis pour les transactions Bitcoin classiques (non-SegWit) et Ă  294 satoshis pour les transactions natives SegWit. Cela signifie que toute transaction rĂ©guliĂšre Ă©gale ou infĂ©rieure Ă  546 satoshis sera considĂ©rĂ©e comme du spam et sera probablement rejetĂ©e par les nƓuds de validation.


Les Attaques par saupoudrage

Les escrocs ont rĂ©cemment pris en considĂ©ration le fait que les utilisateurs de cryptomonnaie ne prĂȘtaient pas beaucoup d’attention Ă  ces minuscules quantitĂ©s apparaissant dans leur portefeuille. Ils ont donc commencĂ© Ă  "saupoudrer" un grand nombre d’adresses en leur envoyant quelques satoshis. AprĂšs ce saupoudrage sur plusieurs adresses, l'Ă©tape suivante d'une attaque par saupoudrage consiste en une analyse combinĂ©e de ces diffĂ©rentes adresses dans le but d'identifier celles qui appartiennent au mĂȘme portefeuille.

L'objectif est de pouvoir Ă©ventuellement relier ces adresses et les portefeuilles saupoudrĂ©s Ă  des sociĂ©tĂ©s ou des individus identifiables. En cas de succĂšs, les attaquants peuvent alors utiliser ces informations contre leurs cibles, par le biais d'attaques de phishing (ou hameçonnage) Ă©laborĂ©es ou mĂȘme par des menaces de cyber extorsion.

Les attaques de dĂ©poussiĂ©rage ont Ă©tĂ© initialement lancĂ©es via le Bitcoin, mais elles concernent Ă©galement d’autres crypto-monnaies qui fonctionnent via une blockchain publique et sont donc facilement traçables.

Fin octobre 2018, les dĂ©veloppeurs du portefeuille Bitcoin Samourai ont ainsi annoncĂ© que certains de leurs utilisateurs faisaient l'objet d'attaques par saupoudrage. La sociĂ©tĂ© a envoyĂ© un tweet avertissant les utilisateurs de ces attaques et leur expliquant comment se protĂ©ger. L'Ă©quipe du Samourai Wallet a mis en place une alerte en temps rĂ©el pour le suivi de la poussiĂšre, de mĂȘme qu'une fonction «Ne pas dĂ©penser» permettant aux utilisateurs de marquer les fonds suspects, afin qu’ils ne soient pas inclus dans les futures transactions.

Étant donnĂ© que les attaques par saupoudrage reposent sur une analyse combinĂ©e de plusieurs adresses, si un montant saupoudrĂ© n'est pas dĂ©placĂ©, les attaquants ne seront pas en mesure d'Ă©tablir les connexions dont ils ont besoin pour "dĂ©sanonymiser" les portefeuilles. Le Samourai Wallet a dĂ©jĂ  intĂ©grĂ© la capacitĂ© de signaler automatiquement les transactions suspectes Ă  leurs utilisateurs. MalgrĂ© une limite de poussiĂšre fixĂ©e Ă  546 satoshis, de nombreuses attaques par saupoudrage dĂ©passent largement ce seuil et se situent mĂȘme gĂ©nĂ©ralement entre 1 000 et 5 000 satoshis.


Le Pseudonymat du Bitcoin

Etant donnĂ© que le Bitcoin est un rĂ©seau ouvert et dĂ©centralisĂ©, tout le monde peut configurer un portefeuille et rejoindre le rĂ©seau sans fournir d’informations personnelles. Bien que toutes les transactions Bitcoin soient publiques et visibles, il n’est pas toujours facile de trouver l’identitĂ© de l’individu qui se cache derriĂšre chaque adresse publique ou transaction, et c’est ce qui rend le Bitcoin en quelque sorte privĂ© —mais de maniĂšre partielle.

Les transactions de Pair-Ă -Pair (P2P ou peer-to-peer en anglais) ont plus de chances de rester anonymes car elles sont effectuĂ©es sans l'intervention d'un intermĂ©diaire. Cependant, de nombreux Ă©changes de crypto-monnaie collectent des donnĂ©es personnelles via des processus de vĂ©rification KYC (Know Your Customer en anglais pour Connaissez Votre Client), ce qui signifie que lorsque les utilisateurs dĂ©placent des fonds depuis leurs portefeuilles personnels vers leurs comptes sur les plateformes d’échange, ils risquent en quelque sorte d’ĂȘtre “dĂ©-anonymisĂ©s”. IdĂ©alement, une nouvelle adresse Bitcoin devrait ĂȘtre crĂ©Ă©e pour chaque nouvelle transaction ou demande de paiement afin de prĂ©server la vie privĂ©e et l’anonymat des utilisateurs.
Il est important de garder Ă  l'esprit que, contrairement Ă  ce que beaucoup pensent, le Bitcoin n'est pas vraiment une crypto-monnaie anonyme. Sans compter les attaques par saupoudrage qui ont Ă©tĂ© crĂ©Ă©es rĂ©cemment, de nombreuses sociĂ©tĂ©s, laboratoires de recherche et agences gouvernementales procĂšdent Ă  des analyses des chaĂźnes de blocs pour tenter de dĂ©sanonymiser les rĂ©seaux blockchain - et certains d’entre eux affirment mĂȘme avoir dĂ©jĂ  rĂ©alisĂ© des progrĂšs significatifs en ce sens.


Pour conclure

Bien que la blockchain du Bitcoin soit quasi-impossible Ă  pirater ou Ă  dĂ©stabiliser, les portefeuilles reprĂ©sentent souvent un sujet de prĂ©occupation majeur. Etant donnĂ© que les utilisateurs ne transmettent pas leurs informations personnelles lors de la crĂ©ation d'un compte, ils ne peuvent pas prouver qu’un vol a eu lieu si un pirate informatique accĂšde Ă  leurs fonds cryptos. Mais mĂȘme si cela Ă©tait possible, cela serait malheureusement inutile.

Lorsqu'un utilisateur dĂ©tient ses crypto-monnaies dans un portefeuille personnel, il agit comme sa propre banque, ce qui signifie qu'il ne peut rien faire en cas de piratage ou de perte de sa clĂ© privĂ©e. La vie privĂ©e et la sĂ©curitĂ© deviennent donc de plus en plus prĂ©cieuses chaque jour. Non seulement pour ceux qui ont quelque chose Ă  cacher, mais pour chacun d’entre nous - et elles sont d’autant plus importantes pour les traders et les investisseurs en crypto-monnaie.

En plus des attaques par saupoudrage et d’autres types attaques par dĂ©sanonymisation, il est Ă©galement important de se mĂ©fier des nombreuses autre menaces qui concerne la sĂ©curitĂ© et qui font partie intĂ©grante de la “crypto-sphĂšre”, telles que le Cryptojacking, le Ransomware et le Phishing. Pour vous protĂ©ger, d'autres mesures de sĂ©curitĂ© complĂ©mentaires pourront notamment inclure l'installation d'un VPN, couplĂ© Ă  un antivirus fiable, sur tous vos appareils. Le cryptage de vos portefeuilles et le stockage de vos clĂ©s dans des dossiers cryptĂ©s est Ă©galement fortement recommandĂ©.
Partager des publications
S’inscrire pour un compte.
Mettez vos connaissances en pratique en ouvrant un compte Binance dùs aujourd’hui.