Comment interdire un projet de logiciel open-source et le faire tenir ?

C’est la question à laquelle est confronté le département du Trésor, qui a ajouté la semaine dernière le mélangeur de crypto-monnaie open source Tornado Cash à une liste du gouvernement américain d’individus et d’entités mis sur liste noire pour avoir enfreint les sanctions. Dans ce cas, Tornado Cash – qui aide à garder les transactions de crypto-monnaie privées – a fait la liste des violations des sanctions contre la Corée du Nord.

Mais Tornado Cash n’est pas une entreprise. Il s’agit d’un projet de logiciel open source basé sur la blockchain Ethereum, maintenu par des personnes et des serveurs répartis dans le monde entier. Comme l’a écrit l’équipe dans un article de blog de 2020, « Désormais, Tornado.cash vit en grande partie selon les préceptes selon lesquels le code est la loi. … Personne ne peut modifier les contrats intelligents et le protocole est décentralisé et imparable, tant qu’Ethereum n’est pas modifié ou supprimé.

L’action américaine soulève une foule de questions quant à savoir si un gouvernement peut effectivement sanctionner le code open source, plutôt que des individus, et quels effets généralisés cela pourrait avoir non seulement sur les futurs projets open source, mais sur tous ceux qui ont utilisé Tornado Cash. Il y a eu 12 243 dépôts d’utilisateurs uniques sur Tornado Cash, selon Dune Analytics, une plateforme d’analyse blockchain.

« Ils ne sanctionnaient pas seulement une entité ou un utilisateur spécifique comme, dans ce cas, la Corée du Nord », a déclaré Seth For Privacy, le pseudonyme d’un éducateur en matière de confidentialité dont le travail se concentre sur l’écosystème de la crypto-monnaie.

Publicité

« Au lieu de cela, ils sanctionnent l’ensemble de l’outil, l’ensemble de l’outil open source de contrats intelligents décentralisés sur [the cryptocurrency] Ethereum », a-t-il déclaré. «Ils se sont attaqués à l’ensemble de l’outil lui-même qui avait été utilisé par une entité sanctionnée. C’était donc un grand, grand changement par rapport à l’époque où normalement les sanctions ciblaient une entité utilisant un outil.

Comment on est venu ici?

Le département du Trésor a ajouté Tornado Cash à la liste des sanctions – connue sous le nom de liste des ressortissants spécialement désignés et des personnes bloquées (liste SDN) – pour avoir prétendument facilité des millions de dollars en transactions de crypto-monnaie au gouvernement nord-coréen aux mains de pirates affiliés au gouvernement.

Dans sa déclaration, le département du Trésor a déclaré que Tornado Cash « a été utilisé pour blanchir plus de 7 milliards de dollars de monnaie virtuelle depuis sa création en 2019. Cela comprend plus de 455 millions de dollars volés par le groupe Lazarus », un groupe de piratage nord-coréen parrainé par l’État. qui a été sanctionné par les États-Unis en 2019, que le département a décrit comme le plus grand vol de monnaie virtuelle connu à ce jour.

« Malgré les assurances publiques contraires, Tornado Cash a omis à plusieurs reprises d’imposer des contrôles efficaces conçus pour l’empêcher de blanchir régulièrement des fonds pour des cyberacteurs malveillants et sans mesures de base pour faire face à ses risques », a déclaré le sous-secrétaire au Trésor pour le terrorisme et le renseignement financier. Brian E. Nelson dans un communiqué. « Le Trésor continuera à poursuivre de manière agressive des actions contre les mélangeurs qui blanchissent la monnaie virtuelle pour les criminels et ceux qui les aident. »

Contrairement à la croyance populaire, peu de transactions de crypto-monnaie sont privées.

Les blockchains publiques, qui peuvent être considérées comme des registres numériques, conservent un enregistrement de toutes les transactions. Alors que les portefeuilles de crypto-monnaie ou les adresses alphanumériques où les fonds sont envoyés sont pseudonymes, les personnes derrière eux peuvent être identifiées.

En effet, les gens publient publiquement leurs adresses de portefeuille en ligne, et des sociétés d’analyse ou d’analyse de chaînes de blocs comme Chainalysis et Elliptic ont créé des modèles commerciaux complets en ouvrant les rideaux et en suivant les transactions de crypto-monnaie.

Ils font des choses comme identifier, catégoriser et suivre les adresses en temps réel, en utilisant la modélisation et les représentations visuelles pour suivre les changements sur une blockchain et identifier les comportements. En un sens, ils suivent l’argent.

Tornado Cash est un mélangeur, ce qui signifie qu’il aide à masquer les origines et les destinations des transactions de crypto-monnaie et les rend plus difficiles à retracer, même pour les forces de l’ordre. Les gens peuvent envoyer des fonds à un contrat intelligent sur la blockchain Ethereum, qui mélange ensuite les fonds, qui sont ensuite retirés d’une autre adresse. Cette adresse contractuelle figurait sur la liste des sanctions même si personne ne la possédait ; c’est simplement une série de uns et de zéros exécutant une tâche.

Chainalysis, une société d’analyse de blockchain qui a fait des affaires de plusieurs millions de dollars avec l’armée américaine et les forces de l’ordre, a estimé que 18% des fonds reçus par Tornado Cash provenaient d’entités sanctionnées, mais a déclaré « presque entièrement, nous devons noter, avant que ces entités ont été sanctionnés ».

Les détracteurs du service de mixage affirment qu’il est utilisé uniquement par des criminels pour le blanchiment d’argent. Les partisans vantent la fonction de préservation de la vie privée, qui est également utilisée par un nombre important de personnes respectueuses des lois.

« Alors que nous et beaucoup d’autres avons travaillé aux côtés des deux côtés dans l’allée dans une direction positive sur la crypto et la confidentialité, cette décision a aveuglé tout le monde », a déclaré Josh Swihart, vice-président directeur de la croissance, de la stratégie produit et des affaires réglementaires chez Electric Coin Company, créateurs et partisans de la crypto-monnaie améliorant l’anonymat Zcash.

Après que le gouvernement a annoncé les sanctions contre Tornado Cash, Microsoft a supprimé les comptes des contributeurs de Tornado Cash et le projet lui-même de GitHub, une plate-forme où les développeurs créent et maintiennent en collaboration des logiciels open source. Il compte plus de 83 millions d’utilisateurs.

« Trente ans de travail juridique acharné pour établir des protections de premier amendement autour de la distribution de logiciels, explosé en un jour par GitHub/Microsoft », tweeté Matthew Green, professeur de cryptographie à l’Université Johns Hopkins.

« Les lois commerciales exigent que GitHub restreigne les utilisateurs et les clients identifiés comme ressortissants spécialement désignés (SDN) ou d’autres parties refusées ou bloquées, ou qui peuvent utiliser GitHub au nom de parties bloquées », a déclaré un porte-parole de GitHub dans un communiqué. « Dans le même temps, la vision de GitHub est d’être la plate-forme mondiale pour la collaboration des développeurs. Nous examinons minutieusement les sanctions gouvernementales pour nous assurer que les utilisateurs et les clients ne sont pas impactés au-delà de ce qui est requis par la loi.

L’impact sur l’open source

La décision de sanctionner un outil, plutôt que, par exemple, une adresse de portefeuille de crypto-monnaie directement affiliée à une menace pour la sécurité nationale, a envoyé des ondes de choc dans la communauté des crypto-monnaies.

« Les conséquences de [the Treasury Department] ajouter le protocole Tornado Cash à la liste des sanctions était en fait plus important pour le monde au-delà de la crypto que pour la crypto elle-même », a déclaré Omid Malekan, professeur auxiliaire à la Columbia Business School qui enseigne des cours sur la crypto et la blockchain.

Le gouvernement américain « a pris la décision drastique de sanctionner un protocole open source et décentralisé – en ajoutant en particulier les adresses Ethereum des contrats intelligents où se trouve le code », ainsi que les adresses pour accéder au service, a-t-il déclaré.

Cela criminalise effectivement l’acte de rechercher la confidentialité financière, a déclaré Malekan, et ouvre une boîte de Pandore autour de l’open source – par exemple si le gouvernement accusera quelqu’un qui a écrit du code parce qu’un criminel a ensuite utilisé ce code.

Seth For Privacy a déclaré qu’il pourrait également y avoir des risques pour les utilisateurs du service Tornado Cash. Il se demande ce qui se passera avec l’un de leurs fonds qui a interagi avec Tornado Cash et si cet argent ferait l’objet de poursuites pénales.

Vendredi, les autorités néerlandaises ont annoncé avoir arrêté un homme de 29 ans pour être « soupçonné d’être impliqué dans la dissimulation de flux financiers criminels et de faciliter le blanchiment d’argent par le mélange de crypto-monnaies via le service de mélange décentralisé Ethereum Tornado Cash ».

Les autorités ont déclaré que plusieurs arrestations ne pouvaient être exclues.

Une pente glissante

Parce que les portefeuilles cryptographiques ne peuvent pas rejeter les transactions entrantes, un utilisateur anonyme de Twitter pour prouver un point a commencé à envoyer une multitude de transactions incroyablement petites et non sollicitées d’Ethereum qui avaient interagi avec Tornado Cash aux portefeuilles publics de célébrités, les impliquant en théorie dans des violations potentielles de lois sur les sanctions.

Malekan a effectué un travail similaire expérience publique sur Twitter en faisant don d’une petite quantité d’Ethereum, via Tornado Cash, à Planned Parenthood et à un groupe secret de Russes aidant les réfugiés ukrainiens. Dans les deux cas, a-t-il dit, il a commis un crime, mais l’a fait pour illustrer que la vie privée elle-même ne devrait pas être criminalisée.

« Il y a 10 000 raisons vanilles pour lesquelles quelqu’un voudrait utiliser Tornado Cash pour quelque chose de complètement banal d’une manière qui n’est ni criminelle ni illicite », a-t-il déclaré.

Hailey Lennon, actionnaire du cabinet d’avocats Anderson Kill’s Technology, Media and Distributed Systems Group, a déclaré que plus les régimes de sanctions découlent d’un lien direct avec l’aide aux terroristes et la couverture de la source des fonds, plus vous obtenez « envers les développeurs et l’open source qui devient vraiment collant.

Elle a également souligné qu’il existe une tension entre la sécurité nationale et la vie privée dans ce cas, la sécurité nationale étant utilisée comme justification pour s’immiscer dans la vie privée. Des débats similaires se déroulent autour des communications cryptées, par exemple.

« Lorsque le 11 septembre s’est produit, cela a donné au Patriot Act des dents plus acérées », a-t-elle déclaré. « Cela a changé notre façon de voyager et la façon dont les institutions financières surveillent les transactions. »

Les actions du gouvernement ont déjà rendu plus difficile l’accès au service pour les utilisateurs de Tornado Cash, mais il reste à voir si les sanctions peuvent réellement éliminer un projet open source. En plus de la suppression par Microsoft du code et des contributeurs de GitHub, deux principaux fournisseurs d’interface et d’infrastructure de programmation d’applications, Alchemy et Infura, ont bloqué l’accès API à l’interface frontale de Tornado Cash. Cela signifie que les utilisateurs essayant d’y accéder via ces API – des intermédiaires logiciels qui permettent aux applications de se parler – ne peuvent pas voir Tornado Cash. Les utilisateurs peuvent toujours accéder au service Tornado Cash, mais cela va devenir de plus en plus difficile et compliqué avec le temps.

« Je pense que la principale chose à laquelle un projet doit être préparé lors de la construction de son projet est de s’assurer qu’il est conçu pour des environnements contradictoires », a déclaré Seth pour la confidentialité. « Ne supposons pas que l’environnement actuel durera éternellement, ou que leur outil lui-même sera toujours considéré au-dessus de tout bord et OK. »

Merci à Lillian Barkley et Alicia Benjamin pour la rédaction de cet article.


Rate this post
Publicité
Article précédentPrivate Division s’associe à Weta Workshop sur le jeu de la Terre du Milieu
Article suivantUne fuite de la bande-annonce de Fortnite x Dragon Ball révèle une arme, des skins et des planeurs mythiques
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici