Chainalysis dénonce le contributeur principal de Bitcoin comme étant « non qualifié »
Si vous n’avez pas bien ri des tentatives de Chainalysis pour défendre l’utilisation de son logiciel d’investigation blockchain à des fins d’application de la loi à la lumière de récentes procédures judiciaires, le moment est peut-être venu.
Après avoir dû admettre le manque de preuves scientifiques de l’exactitude de son logiciel et la publication d’un rapport d’expertise qualifiant d’« imprudente » l’utilisation des heuristiques de Chainalysis, Chainalysis se retrouve à tenter d’échapper à un audit du code source de son logiciel.
Le code source de Chainalysis est demandé par la défense dans l’affaire US contre Sterlingov, un des premiers utilisateurs de Bitcoin actuellement en attente de procès pour le fonctionnement présumé du mélangeur de bitcoins dépositaire Bitcoin Fog, pour reproduire les conclusions du logiciel à la lumière du manque de preuves corroborantes.
La défense de Sterlingov définit l’accès au code source de Chainalysis comme « essentiel au droit à une procédure régulière de M. Sterlingov étant donné que ni le gouvernement ni Chainalysis ne sont en mesure de produire des preuves concernant les taux d’erreurs de Chainalysis Reactor, le taux de faux positifs ou le taux de faux négatifs. Le gouvernement ou Chainalysis ne peuvent pas non plus produire un seul article scientifique évalué par des pairs attestant de l’exactitude de leur logiciel. Aucun audit indépendant ni validation de modèle n’a été effectué non plus sur Chainalysis Reactor.
« De plus », poursuit l’avis, « le rapport d’expert du témoin expert de la Défense, Jonelle Still de Ciphertrace, documente de nombreux problèmes avec le logiciel Chainalysis Reactor et conclut qu’il ne devrait pas être utilisé dans un procès pénal fédéral. »
Chainalysis affirme maintenant que Bryan Bishop, contributeur de Bitcoin Core, le témoin expert produit par la défense de Sterlingov pour auditer le code source de Chainalysis, n’est « pas qualifié » pour le poste en raison de son manque de diplôme en informatique, déclarant qu « il ne semble pas être un ingénieur logiciel fiable, et encore moins un évaluateur fiable de logiciels. Au contraire, la communauté des développeurs Bitcoin a trouvé Bishop suffisamment qualifié et fiable pour être l’un des deux modérateurs de la liste de diffusion Bitcoin-dev depuis 2015.
La liste de diffusion bitcoin-dev est une liste de diffusion par courrier électronique pour discuter des dernières avancées technologiques dans le développement du protocole Bitcoin et des domaines adjacents. Ses participants comprennent le cryptographe et inventeur de HashCash Adam Back, le cryptographe et ancien responsable de Bitcoin Core Pieter Wuille, ainsi qu’un éventail de contributeurs très respectés et prolifiques dans le développement de Bitcoin.
La liste de diffusion Bitcoin-dev est modérée en fonction d’un certain nombre de facteurs, que Bishop évalue tous avant d’approuver les publications sur la liste. Ces facteurs incluent la spéculation, les préoccupations non techniques et le fait de ressasser des sujets réglés sans nouvelles données.
Les propres contributions de Bishop à la liste incluent l’évaluation des schémas de signature, l’évaluation des opérations de signature de clés multisig effectuées via des portefeuilles matériels et l’évaluation des problèmes de sécurité concernant l’augmentation de la taille des blocs et l’exploitation minière par fusion.
En tant qu’expert respecté dans le domaine, Bishop a participé à de longues discussions sur la cryptographie à courbe elliptique, les schémas de signature ECDSA, les schémas de signature Schnorr, les schémas de signature BLS, les schémas d’agrégation de signatures, la cryptographie post-quantique, l’exploitation minière quantique et le hachage de mot de passe scrypt.
En tant que contributeur de Bitcoin Core, Bishop a contribué au développement continu des coffres-forts, qui sont des mécanismes visant à améliorer la sécurité de la garde. Cette contribution particulière a été mentionnée dans la réponse de Chainalysis à l’installation de Bishop en tant que témoin expert, citant un avis sur le référentiel GitHub de Bishop, qui se lit comme suit : « AVERTISSEMENT : ce n’est pas du code prêt pour la production. Ne l’utilisez pas sur le réseau principal Bitcoin ou sur tout autre réseau principal.
Alors que Chainalysis semble affirmer que l’avis de Bishop prouve son infériorité en tant que développeur de logiciels, l’installation d’avis de sécurité pour le code expérimental est une pratique courante parmi les ingénieurs. L’interprétation de l’avis par Chainalysis ne peut que nous amener à croire que l’accusation tente activement d’induire le tribunal en erreur – ou qu’elle ne sait absolument pas comment fonctionne l’ingénierie.
Soulignant le rôle de Bishop en tant que CTO et co-fondateur de la Custodia Bank basée au Wyoming comme un fait critique, Chainalysis tente d’entacher la réputation de Bishop de 20 ans dans le génie logiciel en citant la candidature refusée de Custodia en tant que membre de la Réserve fédérale. Cela amène Chainalysis à affirmer que « M. Bishop est fortement incité à abuser de son accès à Chainalysis afin de tenter de comprendre pourquoi il n’a pas pu, dans ses efforts précédents, développer un logiciel pour atténuer efficacement les risques de blanchiment d’argent et de financement du terrorisme – ce qui a empêché son ancienne banque d’obtenir une licence d’exploitation par la Réserve fédérale.
Ce que Chainalysis ne parvient pas à souligner, c’est que la lettre de refus citée cite l’inefficacité des services Chainalysis à mapper les fonds sur des identités réelles comme l’une des raisons pour lesquelles la demande de Custodia a été refusée à la lumière des préoccupations en matière de LBC :
« Bien qu’il existe des entreprises privées qui enquêtent sur les transactions sur les blockchains de crypto-actifs uniquement sur la base d’informations publiques, telles que celles provenant de la blockchain ou des médias sociaux, sans informations d’identification du client, les services sont très imparfaits. Les sociétés d’application de la loi et d’analyse spécialisée en blockchain, comme Chainalysis, peuvent obtenir des informations sur un portefeuille et son détenteur, notamment si le portefeuille peut être associé à une activité illicite ou à d’autres portefeuilles identifiés comme suspects ou sanctionnés ; cependant, il peut être difficile, en s’appuyant uniquement sur l’analyse de la blockchain, d’établir l’identité réelle de la personne possédant ou contrôlant un portefeuille avec les informations disponibles au moment de la transaction. Même après une enquête, ces informations peuvent être difficiles à établir, en particulier si des techniques d’obscurcissement de la blockchain sont utilisées.
La tentative de dénoncer Bishop en tant que témoin expert apte à auditer le code de Chainalysis sur la base de son expérience antérieure est particulièrement riche face au fait que les propres experts de Chainalysis sont incapables de distinguer les octets des bits ; un fondamental de l’informatique enseigné lors des premières leçons des diplômes d’ingénieur de premier cycle.
En bref, Chainalysis craint qu’un audit du code source de Chainalysis par le défendeur, le conseil de défense ou l’expert suggéré ne cause « un préjudice irréparable à l’activité de Chainalysis ». On ne peut que se demander pourquoi.
