La confidentialité réseau de Monero : Dandelion++ expliqué
La confidentialité réseau de Monero : Dandelion++ expliqué
La plupart des gens qui achètent du Monero partent du principe que le protocole dissimule tout dès l'instant où une transaction quitte leur portefeuille. Sur la blockchain elle-même, c'est largement vrai : RingCT masque les montants, la signature en anneau dissimule quelle sortie est dépensée, et l'adresse furtive rompt le lien avec le destinataire. Mais il existe une couche plus discrète qui n'a rien à voir avec le registre : le réseau pair-à-pair qui achemine votre transaction depuis votre nœud jusqu'à un mineur. Quand vous cliquez sur « envoyer », votre transaction apparaît d'abord à une seule adresse IP avant de se propager. Un observateur du réseau qui repère cette origine peut parfois relier une transaction parfaitement privée sur la chaîne à une connexion Internet bien réelle.
C'est précisément cette faille que Dandelion++ a été conçu pour combler. Il s'agit du protocole de propagation que Monero utilise pour brouiller le chemin emprunté par une transaction à travers le réseau, de sorte que le nœud où elle refait surface ne soit presque jamais celui qui l'a créée. Lorsque vous échangez vos fonds contre du Monero via un service comme MoneroSwapper, vos pièces héritent automatiquement de cette protection — mais comprendre son fonctionnement vous indique aussi où se situent ses limites et ce que vous devriez ajouter par-dessus. Ce guide détaille l'architecture stem-and-fluff, les paramètres réellement déployés par Monero, le modèle de menace concret, et la manière de durcir votre configuration en 2026.
Pourquoi la confidentialité au niveau réseau est un problème à part
On parle généralement des cryptomonnaies confidentielles en termes de ce qui finit sur la chaîne. Ce cadrage passe à côté de toute une catégorie de fuites. La blockchain est un registre public, mais le fait de diffuser une transaction est un événement en direct, qui se produit à un endroit et à un instant précis — et ces métadonnées peuvent être tout aussi identifiantes qu'un registre transparent.
Trois surfaces distinctes entrent en jeu à chaque fois que vous transactez, et Dandelion++ ne s'attaque qu'à la troisième :
- Le contenu on-chain : le montant, l'émetteur et le destinataire. Monero protège cela avec RingCT, les signatures en anneau, les adresses furtives et l'image de clé, qui empêche la double dépense sans révéler quelle pièce a bougé.
- La traçabilité au niveau de la chaîne : la possibilité de relier deux transactions par des données réutilisées. La génération de sous-adresses et les adresses furtives à usage unique les rendent impossibles à corréler, ce qui constitue le socle de la fongibilité du Monero.
- Les métadonnées réseau : l'adresse IP qui annonce une transaction en premier, le moment de cette annonce, et le nœud qui la détient le premier dans sa mempool. Aucun des outils cryptographiques ci-dessus ne touche à cela — cela vit sous le protocole, dans la couche de propagation.
Un adversaire qui fait tourner une flotte de nœuds d'écoute bien connectés n'a pas besoin de casser la moindre primitive cryptographique pour attaquer la troisième surface. Il lui suffit de noter de quelle IP il a entendu parler de chaque transaction en premier. Dans un réseau qui diffuse naïvement par inondation, le premier nœud à relayer une transaction est très probablement celui qui l'a rédigée. Cette unique observation peut faire s'effondrer l'anonymat d'un paiement par ailleurs irréprochable. Les débuts du réseau Bitcoin ont été démontrés vulnérables, à plusieurs reprises, exactement à ce type de désanonymisation « du premier espion », et les travaux de recherche qui ont donné naissance à Dandelion découlent directement de ces constats.
Comment Dandelion++ fonctionne réellement
Dandelion++ est un protocole académique présenté en 2018 par Fanti et ses coauteurs, qui affine la proposition Dandelion originale de 2017. Monero a déployé son implémentation dans la version v0.15 « Carbon Chameleon » fin 2019, et il protège la propagation des transactions sur le réseau depuis lors. L'idée centrale consiste à scinder la propagation en deux phases au comportement radicalement différent : une phase de routage privée et une phase de diffusion publique.
La phase stem (la tige)
Lorsque votre nœud crée une transaction, il ne la crie pas à tous ses pairs. Il entre au contraire dans la phase stem — la « tige ». La transaction est transmise à un unique pair choisi de façon pseudo-aléatoire. Ce pair prend alors une décision probabiliste : avec une faible probabilité à chaque saut (Monero utilise une probabilité de bascule basse, de l'ordre de dix pour cent), il fait passer la transaction en phase publique. Sinon, il la transmet plus loin à son propre pair stem unique.
Résultat : la transaction chemine le long d'une ligne imprévisible de nœuds — une « tige » — avant même de devenir publique. Au moment où elle refait surface devant le réseau entier, elle peut se trouver à de nombreux sauts de son émetteur d'origine. Un observateur qui entend parler de la transaction en premier voit un nœud-relais anodin, et non l'auteur, sans aucun moyen fiable de remonter la chaîne à rebours.
La phase fluff (l'aigrette)
Une fois qu'un nœud décide de basculer, la transaction entre dans la phase fluff — l'« aigrette », ce duvet qui s'envole du pissenlit. Elle se comporte ici comme un commérage ordinaire : le nœud la diffuse à tous ses pairs, qui la diffusent à tous les leurs, et elle inonde le réseau pour atteindre les mineurs et atterrir dans la mempool de chacun. La phase fluff est rapide et fiable — son rôle est la livraison, pas la dissimulation. Tout le travail de dissimulation a eu lieu en amont, dans la tige.
Les époques et le graphe 4-régulier
L'amélioration qui a valu le « ++ » vient de la manière dont les routes stem sont choisies. Le Dandelion original acheminait chaque transaction le long d'une simple ligne, qu'un adversaire persistant pouvait cartographier petit à petit. Dandelion++ utilise à la place un graphe 4-régulier : chaque nœud relie sa tige à un petit ensemble fixe de relais sortants, et les sélections sont re-randomisées à chaque époque — une fenêtre de l'ordre de quelques minutes. Comme la topologie de routage se réorganise sans cesse et entremêle les tiges de nombreux utilisateurs, corréler des transactions successives à une même source devient bien plus difficile, même pour un adversaire qui contrôle une fraction du réseau.
Dandelion++ ne rend pas la désanonymisation impossible — il la rend probabiliste et coûteuse. Un adversaire Sybil patient et bien financé peut encore en dégrader les garanties, et c'est exactement pour cela qu'il faut le superposer à des réseaux d'anonymat plutôt que de lui faire confiance seul.
Le minuteur d'embargo
Un attaquant astucieux pourrait tenter une attaque « du trou noir » : se poster sur le chemin de la tige, avaler une transaction et ne jamais la laisser atteindre la phase fluff, dans l'espoir soit de la censurer, soit d'identifier l'émetteur qui finira par réessayer. Monero se défend contre cela avec un minuteur d'embargo. Lorsqu'un nœud confie une transaction à la tige, il déclenche un compte à rebours aléatoire de quelques dizaines de secondes. S'il n'observe pas cette transaction entrer dans la phase publique fluff avant l'expiration du minuteur, il en déduit qu'un problème est survenu et diffuse lui-même la transaction. Cela garantit la vivacité — votre paiement passera — tout en maintenant un délai volontairement irrégulier, afin que ce mécanisme de repli soit lui-même difficile à exploiter.
Dandelion++ face à la pile complète de confidentialité réseau
Dandelion++ est nécessaire mais pas suffisant. Il masque l'origine à l'intérieur du graphe P2P en clair, mais votre nœud parle toujours à ses pairs via votre vraie adresse IP. Un adversaire positionné au niveau réseau, par exemple chez votre fournisseur d'accès, ou qui exploite une très large part des nœuds, peut encore recueillir du signal. Les configurations les plus solides combinent Dandelion++ avec un réseau d'anonymat en dessous. Voici comment se comparent les options courantes :
| Configuration | Ce qu'elle masque | Compromis |
|---|---|---|
| Clearnet, sans Dandelion++ (ancien) | Rien au niveau réseau ; premier relais = origine probable | Le plus rapide, mais trivialement désanonymisable par des nœuds d'écoute |
| Clearnet + Dandelion++ (par défaut aujourd'hui) | Brouille le nœud d'origine au sein du graphe P2P | Votre IP reste visible des pairs ; vulnérable aux grandes flottes Sybil |
| Dandelion++ + Tor (proxy de transaction) | Le nœud d'origine et votre vraie IP vis-à-vis des pairs | Latence plus élevée ; considérations sur les relais d'entrée/sortie ; facile à activer |
| Dandelion++ + I2P | L'origine et l'IP, avec routage « garlic » entrant et sortant | Réseau plus petit, plus de configuration ; idéal pour les nœuds toujours allumés |
L'enseignement clé : Dandelion++ relève le coût des attaques les moins chères, gratuitement et par défaut. Tor ou I2P ferment ensuite la porte à l'adversaire capable de voir votre connexion brute. Ils résolvent des problèmes qui se chevauchent mais restent distincts, et les utilisateurs sérieux les font tourner ensemble.
Comment durcir la confidentialité réseau de votre Monero
Si vous faites tourner votre propre nœud — et l'auto-conservation devient de plus en plus la seule option durable après les retraits du XMR des plateformes dans l'Union européenne et ailleurs — quelques étapes concrètes vous placent près du sommet de la courbe de confidentialité réaliste. Dandelion++ est déjà actif ; ce qui suit ajoute les couches qu'il ne peut pas fournir seul.
- Acheminez vos transactions sortantes via Tor. Démarrez votre démon avec un proxy de transaction (l'option de type
--tx-proxy tor) afin que les diffusions partent à travers Tor. Vos pairs ne voient jamais votre vraie IP pour les transactions que vous émettez. - Ajoutez une adresse entrante anonyme. Configurez
--anonymous-inboundavec un service caché Tor ou une destination I2P, pour que votre nœud puisse aussi recevoir des connexions sans exposer son emplacement, ce qui améliore la connectivité de votre tige. - Faites tourner votre propre nœud plutôt qu'un nœud distant. Un nœud distant voit chaque transaction que vous soumettez ainsi que votre IP. Faire tourner votre propre démon — ou appairer votre portefeuille à un nœud que vous contrôlez — supprime entièrement cet intermédiaire de confiance.
- Gardez votre nœud en ligne et à jour. Un nœud qui reste connecté participe à davantage d'époques et se fond dans davantage de tiges. Faites toujours tourner une version intégrant les derniers correctifs de propagation et de consensus, en amont des mises à jour réseau programmées.
- Évitez de laisser fuir des métadonnées ailleurs. La confidentialité réseau est gâchée si vous réutilisez publiquement la même adresse ou si vous reliez un échange à une identité soumise au KYC. Générez de nouvelles sous-adresses et procurez-vous vos pièces de façon privée dès le départ.
Un modèle de menace concret
Voyons comment cela se joue face au type d'adversaire qui existe réellement. Des entreprises d'analyse de la blockchain comme Chainalysis commercialisent des capacités de surveillance réseau auprès des forces de l'ordre, et une fuite très médiatisée a décrit un « module » visant Monero qui reposait massivement sur l'exploitation de nœuds malveillants et la collecte de données de temporisation et d'IP — et non sur le fait de casser RingCT. C'est exactement la surface d'attaque que vise Dandelion++.
Imaginez un utilisateur qui échange du Bitcoin contre du Monero via MoneroSwapper, puis envoie ses XMR vers un portefeuille d'épargne de long terme. Sur la chaîne, la destination est protégée par l'adresse furtive et le montant par RingCT. Sans confidentialité réseau, un analyste qui exploite des nœuds d'écoute pourrait tout de même noter « la première IP à annoncer cette transaction était 203.0.113.x à 14 h 02 UTC » et la recouper avec d'autres registres. Avec Dandelion++, la transaction refait surface à plusieurs sauts anonymes de là, sur un nœud que l'utilisateur n'a jamais contrôlé ; avec Tor en dessous, même ce point de surgissement ne peut être rattaché à la connexion de l'utilisateur. Il ne reste à l'analyste qu'un relais, un horodatage, et rien à quoi les ancrer.
C'est aussi pourquoi la confidentialité réseau restera pertinente même à mesure que la cryptographie on-chain de Monero progresse. La future mise à jour FCMP++ (Full-Chain Membership Proofs) remplace les signatures en anneau de taille fixe par une preuve tirée de l'ensemble complet des sorties, et des travaux d'adressage de nouvelle génération comme Seraphis et Jamtis figurent sur la feuille de route. Tout cela renforce le registre — rien de tout cela ne change le fait qu'une transaction doit bien être annoncée depuis un endroit. Dandelion++ demeure le protocole qui veille sur cette annonce.
Le contexte réglementaire européen change la donne
En France et plus largement dans l'UE, le décor a changé vite. L'entrée en application du règlement MiCA a poussé plusieurs plateformes à retirer le XMR de leurs catalogues européens, et l'AMF encadre désormais de près les prestataires de services sur actifs numériques. Côté fiscalité, la DGFiP traite les plus-values sur cryptoactifs des particuliers comme des revenus à déclarer, et le devoir de coopération entre administrations s'étend avec des dispositifs comme DAC8 et le cadre CARF.
Cette pression réglementaire a un effet paradoxal sur la confidentialité réseau : plus les rampes d'accès officielles imposent du KYC et conservent des journaux, plus la couche réseau devient le maillon décisif. Si vous acquérez vos XMR sans dévoiler votre identité, mais que votre nœud trahit votre IP au moment de la diffusion, vous avez simplement déplacé la fuite. Dandelion++, combiné à Tor et à un nœud que vous opérez vous-même, comble cet écart — c'est la pièce qui manque souvent à ceux qui se croient protégés parce que la chaîne est privée.
FAQ
Dandelion++ remplace-t-il Tor pour Monero ?
Non. Dandelion++ masque quel nœud, à l'intérieur du réseau pair-à-pair, a émis une transaction, mais votre nœud se connecte toujours à ses pairs via sa vraie adresse IP. C'est Tor ou I2P qui masquent cette IP. Ils sont complémentaires : Dandelion++ déjoue gratuitement la désanonymisation bon marché par le premier relais, tandis qu'un réseau d'anonymat protège contre un observateur capable de voir votre connexion brute.
Dandelion++ est-il activé par défaut dans Monero ?
Oui. Depuis la version v0.15 « Carbon Chameleon » de fin 2019, chaque nœud Monero standard propage les transactions avec Dandelion++ de façon automatique. Vous n'avez rien à configurer pour bénéficier du routage stem-and-fluff — il fait partie du relais normal des transactions.
Un adversaire puissant peut-il encore désanonymiser le trafic Dandelion++ ?
Partiellement, dans de bonnes conditions. Dandelion++ offre une protection probabiliste, pas absolue. Un adversaire qui contrôle une large fraction des nœuds du réseau (une attaque Sybil) peut en dégrader les garanties en observant de nombreuses tiges à la fois. C'est la raison centrale pour laquelle la communauté Monero recommande de superposer Tor ou I2P plutôt que de s'appuyer sur Dandelion++ isolément.
Quelle est la différence entre les phases stem et fluff ?
La phase stem est l'étape de routage privée : une transaction est passée discrètement le long d'une ligne de pairs uniques, chacun décidant avec une faible probabilité de la rendre publique. La phase fluff est l'étape de diffusion ordinaire, où un nœud diffuse la transaction à tous ses pairs afin qu'elle atteigne le réseau entier et les mineurs. L'anonymat vient de la tige ; la livraison vient de l'aigrette.
Utiliser un nœud distant affaiblit-il Dandelion++ ?
Cela le peut. Un nœud distant auquel vous vous connectez voit les transactions que vous soumettez et l'IP depuis laquelle vous les soumettez ; il peut donc contourner la protection que Dandelion++ offre aux autres observateurs. Faire tourner votre propre nœud, ou un nœud de confiance que vous atteignez via Tor, garde cette information d'origine hors de portée d'un tiers.
Conclusion
La réputation de Monero repose sur la cryptographie inscrite dans son registre, mais la confidentialité réelle ne vaut que ce que vaut sa couche la plus faible — et pendant des années, cette couche faible, c'était le réseau. Dandelion++ comble la faille en garantissant que le nœud qui annonce votre transaction n'est presque jamais celui qui l'a créée, et le minuteur d'embargo empêche que cette protection ne soit retournée pour vous censurer. Associé à Tor ou I2P et à votre propre nœud, il vous place bien au-delà de la portée des attaques bon marché et industrialisables que les adversaires déploient réellement. Si vous voulez des pièces qui arrivent déjà sous cette protection, vous pouvez acheter du Monero anonymement via MoneroSwapper et préserver votre confidentialité, de l'échange jusqu'à votre portefeuille.
🌍 Lire en