Une startup amricaine de scurit s’affiche comme le dernier espoir des millionnaires du bitcoin privs de leurs magots aprs avoir perdu le mot de passe de leurs portefeuilles. Elle prtend avoir mis au point une technique permettant de dverrouiller une cl USB IronKey chiffre dont le propritaire a oubli le mot de passe. Ces cls USB sont souvent utilises par les propritaires de cryptomonnaies pour stocker en toute scurit leurs actifs numriques. La startup a propos rcemment son aide un propritaire d’une cl USB IronKey verrouille contenant 7 002 bitcoins d’une valeur d’environ 240 milliards de dollars au prix d’change actuel, mais ce dernier a dclin l’offre.
L’histoire de Stephen Thomas, un programmeur d’origine allemande vivant San Francisco, anime les dbats dans la communaut des cryptomonnaies depuis quelques annes maintenant. Il y a plus de dix ans, Thomas aurait reu 7 002 bitcoins en change de sa participation la production d’une vido d’animation sur la cryptomonnaie naissante. Il aurait stock ses bitcoins sur une cl USB hautement chiffre, connue sous le nom d’IronKey, et aurait not le mot de passe sur une feuille de papier dans le but de le conserver. Le problme, c’est que cette feuille de papier a disparu et la cryptomonnaie est depuis lors bloque dans un purgatoire numrique.
IronKey est le nom de marque d’une famille de dispositifs de stockage portables USB chiffrs appartenant Kingston Digital, une entreprise de mmoire flash dtenue par Kingston Technology Company Inc. Les IronKey sont conus pour effacer dfinitivement leur contenu si quelqu’un essaie seulement 10 mots de passe incorrects. Le programmeur allemand a rvl en 2021 avoir dj puis 8 essais, ce qui signifie qu’aprs deux nouvelles tentatives errones, il perdra dfinitivement ses bitcoins et peut dire dieu sa petite fortune pour toujours. Les 7 002 bitcoins, que Thomas dit avoir reus en 2011, valent aujourd’hui un plus de 240 millions de dollars.
Bien que l’histoire de Thomas aime plusieurs dbats depuis lors, elle n’a pas convaincu tout le monde. Certains critiques ont mis quelques doutes sur les dclarations de Thomas et prfrent les prendre avec des pincettes. Toutefois, la socit de donnes Chainalysis a dclar que de nombreux propritaires de bitcoins se trouvaient dans la mme situation. Dans un rapport publi en janvier 2021, Chainalysis indiquait qu’environ 20 % des bitcoins extraits l’poque – soit 18,5 millions de bitcoins qui valaient environ 643 milliards de dollars – semblaient se trouver dans des portefeuilles perdus ou verrouills. Certains de ses bitcoins ont pu tre rcuprs.
L’histoire de Thomas ne s’arrte pas l et vient de prendre une tournure trange. Thomas a racont sa msaventure dans une interview accorde au New York Times en 2021. la mme poque, une quipe de hackers et de cryptographes a form une startup appele Unciphered, spcialise dans le piratage de dispositifs de stockage verrouills. Au dbut de l’anne 2023, l’quipe a commenc travailler sur des dispositifs IronKey similaires celui de Thomas, dans le cadre d’une opration qu’ils ont appele Projet Everest. Dans un article publi mardi, Andy Greenberg de Wired a dclar que l’quipe d’Unciphered lui a fourni une preuve de concept.
Les hackers d’Unciphered avaient mis au point une technique secrte de cassage de mot de passe IronKey – qu’ils ont toujours refus de dcrire en dtail moi ou toute autre personne extrieure leur entreprise – qui leur permettait d’effectuer un nombre infini d’essais [sur les cls IronKey verrouilles]. Ma cl USB tait arrive au laboratoire d’Unciphered le mardi, et j’ai t quelque peu surpris de voir ma phrase de passe de trois mots m’tre renvoye par SMS ds le lendemain matin. Smith [de l’quipe d’Unciphered] m’a dit qu’avec l’aide d’un ordinateur trs performant, le processus n’avait pris que 200 000 milliards d’essais , indique son rapport.
L’quipe d’Unciphered aurait russi lire le contenu d’une cl IronKey dchiffr pour la toute premire fois en juillet. Nous venons d’atteindre le sommet de l’Everest , a dclar Eric Michaud, PDG d’Unciphered. Depuis, l’quipe aurait dverrouill des dispositifs IronKey plus d’un millier de fois – toujours de manire non destructive. Avec un tel taux de russite, on pourrait penser que Thomas serait impatient de conclure un accord avec Unciphered et d’avoir enfin accs ses bitcoins, mais ce n’est pas le cas. Le rapport indique que la socit amricaine a contact Thomas par l’intermdiaire d’un associ commun, mais ce dernier a poliment refus son aide.
L’appel n’aurait mme pas permis de discuter de la commission ou des frais d’Unciphered avant que Thomas ne dcline poliment l’offre. Il aurait dclar qu’il travaillait dj avec deux autres groupes d’experts sur la rcupration et qu’il n’tait pas en mesure de ngocier avec quelqu’un d’autre pour l’instant. Pour viter que les deux quipes ne se fassent concurrence, il leur aurait offert chacune une partie des recettes si l’une ou l’autre parvenait dverrouiller la cl. Selon le rapport, Thomas a dclar : il est possible que l’quipe actuelle dcide de sous-traiter Unciphered si elle estime que c’est la meilleure option. Nous devrons attendre et voir .
Mais mme un an plus tard, il reste dtermin donner ces quipes plus de temps pour travailler sur le problme avant de faire appel quelqu’un d’autre, mme si aucune de ces quipes n’a montr le moindre signe de russite dans le dchiffrement qu’Unciphered dit avoir ralis. Unciphered se retrouve donc dans une situation trange : elle dtient ce qui est potentiellement l’un des outils de crochetage de serrure les plus prcieux dans le monde des cryptomonnaies, mais n’a pas de serrure crocheter. L’attitude de Thomas suscite de nouveau des critiques et conforte les prcdentes allgations selon lesquelles il ne dtient pas 7 200 bitcoins.
Personne n’attend indfiniment 240 millions de dollars, alors qu’il pourrait les avoir maintenant presque srement. S’il avait vraiment des lments d’une telle valeur sur la cl USB, il aurait dit son contractant actuel de faire le ncessaire et de passer un accord avec la nouvelle quipe s’il le fallait, sous peine de perdre le contrat. Je souponne donc que la demande initiale tait une connerie et qu’il ne s’attendait pas ce que quelqu’un ait la possibilit de la prouver , a crit un critique. Un autre prfre tourner la chose en drision : il est difficile de le croire. Il est possible que la cl soit vide ou que la seule chose qu’elle contient soit un fichier autorun.inf .
Dans les commentaires, certains s’en sont galement pris au fabricant des cls USB IronKey. L’un d’entre eux a dclar : je tiens simplement souligner quel point il est ridicule de construire un dispositif de stockage qui dtruit son contenu aprs seulement 10 tentatives infructueuses. Le fabricant semble avoir confondu la ralit et la science-fiction. Les donnes qu’ils stockent sont trop importantes pour que le propritaire les perde aussi facilement. Il serait possible d’augmenter ce nombre 100 sans diminuer la scurit de manire significative, mais cela donnerait au propritaire une plus grande marge de manuvre pour accder ses donnes .
Selon le rapport, la cl USB IronKey, dont le dveloppement aurait t financ en partie par le ministre amricain de la Scurit intrieure, est certifie FIPS-140-2 niveau 3, ce qui signifie qu’elle est inviolable et que le chiffrement est suffisamment sr pour tre utilis par les agences militaires et de renseignement pour des informations classifies. Unciphered n’a toujours pas rvl l’intgralit de son processus de recherche ni les dtails de la technique qu’elle a finalement trouve pour craquer les cls USB IronKey et vaincre son « compteur » qui limite les devinettes de mots de passe. L’entreprise voque des risques importants pour la scurit nationale.
L’entreprise affirme que les vulnrabilits qu’elle a dcouvertes sont dangereuses pour tre rendues publiques, tant donn que le modle d’IronKey qu’elle a craqu est trop vieux pour tre corrig par une mise jour logicielle. Si cela devait fuir d’une manire ou d’une autre, les implications pour la scurit nationale seraient bien plus importantes qu’un portefeuille de cryptomonnaies , note Unciphered.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’histoire du programmeur susmentionne ?
Selon vous, le programmeur dtient-il rellement ces 7 022 bitcoins ?
Pourquoi refuse-t-il l’aide d’une socit qui veut l’aider rcuprer ses bitcoins ?
Que pensez-vous des cls USB IronKey ? Sont-elles aussi scurises que le fabricant le prtend ?
Que pensez-vous des critiques sur la limitation 10 du nombre de tentatives pour dverrouiller les cls USB IronKey ?
Le fabricant doit-il augmenter ce nombre ? Cette augmentation diminuera-t-elle la scurit du dispositif ? Pourquoi ?
Voir aussi