Une faille de scurit dans le code utilis pour crer des portefeuilles de bitcoin pourrait permettre des pirates informatiques de voler plus dun milliard de dollars en cryptomonnaie, selon une start-up spcialise dans la rcupration de fonds lectroniques.
La start-up, Unciphered, a dcouvert la faille en essayant daider un client qui avait perdu son mot de passe pour accder plus de 600 000 dollars en bitcoin. Les experts dUnciphered nont pas russi ouvrir le portefeuille du client, mais ils ont ralis que le code utilis pour le crer tait galement utilis par des millions dautres portefeuilles, et quils pouvaient tre pirats en quelques secondes.
La faille, baptise Randstorm, provient de programmes de portefeuilles qui ont cr des cls cryptographiques qui ntaient pas assez alatoires.
La socit a travaill pendant des mois pour alerter plus dun million de personnes que leurs portefeuilles sont risque. Des millions dautres nont pas t informs, souvent parce que leurs portefeuilles ont t crs sur des sites web de cryptomonnaies qui ont fait faillite.
Des risques de scurit
Lhistoire des vulnrabilits de ces portefeuilles souligne le risque norme que reprsentent les monnaies exprimentales, au-del de leurs fortes fluctuations de valeur et de lvolution rapide des rglementations. De nombreux portefeuilles ont t crs avec du code contenant de profondes failles, et les entreprises qui ont utilis ce code peuvent disparatre. Au-del de cela, cela nous rappelle que sous toutes sortes dinfrastructures logicielles, mme celles explicitement ddies lobtention de fonds, se trouvent des programmes open source que peu ou pas de personnes supervisent.
LOpen Source vieillit comme le lait. Cela finira par se dtriorer , a dclar Chris Wysopal, co-fondateur de la socit de scurit Veracode, qui a conseill Unciphered alors qu’il rsolvait le problme.
Le risque d’un mauvais code open source a t mis nu en 2021 lorsqu’il a t dcouvert que Log4j, un outil omniprsent utilis par les diteurs de logiciels dont peu de consommateurs taient conscients, pouvait tre utilis pour excuter du code malveillant. Cette rvlation a paniqu les entreprises du monde entier et a fait de la scurit open source une priorit absolue pour lAgence de cyberscurit et de scurit des infrastructures du ministre de la Scurit intrieure, qui pousse dsormais les entreprises cartographier tous les programmes dont elles dpendent.
Chaque technologie cre par l’homme contient des dfauts qui proviennent de ses crateurs , a dclar Eric Michaud, cofondateur d’Unciphered.
Stefan Thomas, le technologue qui a cr le logiciel utilis pour crer les portefeuilles, a dclar qu’il l’avait fait comme passe-temps et qu’il avait pris la partie cl du code d’un programme publi sur la page d’un tudiant de l’Universit de Stanford, sans vrifier si c’tait sain. Au lieu de cela, j’tais obsd par l’ide de m’assurer de ne commettre aucune erreur dans mon propre code , a dclar Thomas. Je suis dsol pour toute personne touche par ce bogue .
Une initiative enclenche par un adepte prcoce du bitcoin
La personne qui a dclench le processus est linvestisseur Nick Sullivan, un adepte prcoce du bitcoin qui a utilis le site Blockchain.info, rebaptis depuis Blockchain.com, pour crer un portefeuille en 2014. Peu aprs, il a effac la mmoire de son ordinateur sans se rendre compte quil navait pas enregistr dans son gestionnaire de mots de passe le bloc de lettres et de chiffres qui lui donnerait accs son compte crypto.
Ctait un ensemble de circonstances assez frustrant , a dclar Sullivan. lpoque, il avait perdu environ 18 000 dollars. Ce montant vaut maintenant plus de 600 000 dollars, un montant suffisamment important pour quil engage les hackers et les anciens de la NSA chez Unciphered pour essayer de le rcuprer.
Unciphered, lune des rares entreprises spcialises dans la rcupration des fonds lectroniques pigs moyennant des frais, a commenc rechercher largent de Sullivan en janvier 2022.
Il sest avr que les informations dont Sullivan disposait sur la faon dont il avait cr le compte ntaient pas suffisantes pour permettre aux experts dUnciphered d’entrer dans le portefeuille. Mais en tudiant le problme, lquipe dUnciphered a dcouvert un problme plus important : le code de Thomas, connu sous le nom de BitcoinJS, qui tait cens crer des portefeuilles avec des cls alatoires, ne les rendait pas toujours suffisamment alatoires.
Comme pour ne rien arranger, BitcoinJS de Thomas a t utilis non seulement par Blockchain.info mais galement par de nombreux autres sites partir de 2011, y compris la principale source de portefeuilles pour le dogecoin, Dogechain.info.
BitcoinJS comporte plusieurs failles jusqu’en mars 2014 , a dclar Michaud. Quiconque l’utilise directement court un risque trs lev d’attaque .
Les cryptographes ont dcouvert des faiblesses dans la faon dont la plupart des principaux navigateurs craient le hasard en 2014, et ils se sont amliors par la suite. Blockchain.info et certains autres sites ont galement ajout davantage de caractre alatoire, rendant les portefeuilles plus difficiles pirater. Unciphered n’a trouv aucun portefeuille cr aprs 2016 qui soit vulnrable en raison d’un faible caractre alatoire.
Mais cela laisse toujours des millions de portefeuilles vulnrables
Les plus faciles pirater seraient les portefeuilles crs avant mars 2012, qui contiennent environ 100 millions de dollars et pourraient tre pirats par un utilisateur d’ordinateur personnel, a dclar Michaud.
Un montant supplmentaire de 50 milliards de dollars en bitcoins est stock dans des portefeuilles crs entre cette date et la fin 2015. La plupart d’entre eux ne sont pas vulnrables, mais au moins 2 % d’entre eux le sont, pour environ 500 millions de dollars supplmentaires, a dclar Unciphered. Ensuite, il existe dautres devises avec des services de portefeuille emprunts BitcoinJS, notamment le dogecoin et le litecoin.
Dcouvrir la vulnrabilit ne reprsentait que la moiti du dfi. Unciphered devait encore trouver comment dire des millions de personnes de dplacer leurs fonds, sans rvler l’existence d’une norme vulnrabilit.
Malheureusement, de nombreux sites de cryptographie qui avaient utilis le programme dfectueux ont cess leurs activits, tout comme Thomas.
Quelles leons en tirer ?
Cette affaire illustre les risques lis la scurit des portefeuilles numriques et la gestion des cls prives.
Les experts en bitcoin avaient depuis longtemps mis en garde contre lutilisation des portefeuilles crbraux, qui taient considrs comme une mauvaise ide. Ils recommandent plutt dutiliser des portefeuilles numriques qui utilisent des fonctions de hachage plus robustes, avec du sel cryptographique et du key stretching, pour rendre les cls prives plus difficiles craquer. Ils conseillent galement de sauvegarder sa cl prive sur un support physique, comme du papier ou une cl USB, et de la conserver dans un endroit sr. Enfin, ils suggrent dutiliser des portefeuilles numriques qui ncessitent plusieurs signatures (multisig) pour autoriser les transactions, ce qui ajoute une couche de scurit supplmentaire.
Si vous avez cr un portefeuille numrique avant 2016, il se peut que votre argent soit en danger. Il est donc conseill de vrifier le type de portefeuille que vous utilisez et de changer de cl prive si ncessaire. Il vaut mieux prvenir que gurir, surtout quand il sagit de protger ses bitcoins.
Une exprience similaire ( perte d’un mot de passe) a conduit la fermeture d’une socit crypto
Prime Trust se prsente comme une socit crypto fintech cre pour offrir dautres startups des plans de retraite en cryptomonnaie, des interfaces KYC, assurer la liquidit et une foule d’autres services. Lentreprise a procd une dclaration de faillite dans laquelle elle dclare la perte du mot de passe dun portefeuille physique contenant 38,9 millions de dollars comme lun des motifs de sa situation. En sus, il ressort de la dclaration de faillite que Prime Trust a investi dans TerraUSD et a subi des pertes de 6 millions de dollars sur les fonds des clients en plus des 2 millions de dollars US de la socit elle-mme.
Cest le type de tableau qui nest pas sans faire penser au roi du bitcoin brsilien qui a affirm en 2019 que sa socit avait t pirate et avait perdu plus de 7000 bitcoins. Ce dernier aurait ensuite demand et obtenu auprs des autorits brsiliennes un redressement judiciaire afin de rorganiser ses finances. Mais une enqute de trois ans, mene sur lui et son entreprise par les autorits policires, allgue que Oliveira et son groupe se sont engags dans des escroqueries et des dtournements de fonds.
Grosso modo, le schma qui semble stre impos comme la norme dans la filire de la cryptomonnaie est que lentreprise dmarre, tourne pendant un moment et tourne lescroquerie. Et cest ce qui ravive le dbat sur la question de savoir si la cryptomonnaie est une escroquerie ou plutt le socle dune rvolution montaire amorce.
Source : Les experts dUnciphered via Washington Post
Et vous ?
Que pensez-vous de la scurit des portefeuilles de bitcoin ? Faites-vous confiance au code open source qui les cre ?
Avez-vous dj perdu ou oubli votre mot de passe pour accder votre compte crypto ? Si oui, comment avez-vous essay de le rcuprer ?
Que feriez-vous si vous dcouvriez une faille de scurit qui pourrait vous permettre de voler des millions de dollars en bitcoin ? La signaleriez-vous ou en profiteriez-vous ?
Quelles sont les mesures que les autorits devraient prendre pour rguler les cryptomonnaies et prvenir les vols et les fraudes ?
Pensez-vous que les cryptomonnaies sont lavenir de la finance ou une mode passagre ? Quels sont les avantages et les inconvnients de ces monnaies virtuelles ?
Voir aussi :
Qu’est-il advenu de l’exprience du Salvador avec le bitcoin ? Deux ans plus tard, le projet s’avre un flop, les Salvadoriens se mfient de la volatilit du bitcoin et sont rticents l’adopter
La crypto-monnaie est une arnaque sans prcdent pour le dveloppeur Stephen Diehl, qui voit en elle une menace l’conomie relle
Le PDG d’une plateforme crypto, l’origine d’une escroquerie de 2,5 milliards de dollars, est arrt et risque 40 564 ans de prison, des membres de sa famille sont dj sous les verrous