La start-up, Unciphered, a découvert la faille en essayant d’aider un client qui avait perdu son mot de passe pour accéder à plus de 600 000 dollars en bitcoin. Les experts d’Unciphered n’ont pas réussi à ouvrir le portefeuille du client, mais ils ont réalisé que le code utilisé pour le créer était également utilisé par des millions d’autres portefeuilles, et qu’ils pouvaient être piratés en quelques secondes.
La faille, baptisée “Randstorm”, provient de programmes de portefeuilles qui ont créé des clés cryptographiques qui n’étaient pas assez aléatoires.
La société a travaillé pendant des mois pour alerter plus d’un million de personnes que leurs portefeuilles sont à risque. Des millions d’autres n’ont pas été informés, souvent parce que leurs portefeuilles ont été créés sur des sites web de cryptomonnaies qui ont fait faillite.
Des risques de sécurité
L’histoire des vulnérabilités de ces portefeuilles souligne le risque énorme que représentent les monnaies expérimentales, au-delà de leurs fortes fluctuations de valeur et de l’évolution rapide des réglementations. De nombreux portefeuilles ont été créés avec du code contenant de profondes failles, et les entreprises qui ont utilisé ce code peuvent disparaître. Au-delà de cela, cela nous rappelle que sous toutes sortes d’infrastructures logicielles, même celles explicitement dédiées à l’obtention de fonds, se trouvent des programmes open source que peu ou pas de personnes supervisent.
« L’Open Source vieillit comme le lait. Cela finira par se détériorer », a déclaré Chris Wysopal, co-fondateur de la société de sécurité Veracode, qui a conseillé Unciphered alors qu'il résolvait le problème.
Le risque d'un mauvais code open source a été mis à nu en 2021 lorsqu'il a été découvert que Log4j, un outil omniprésent utilisé par les éditeurs de logiciels dont peu de consommateurs étaient conscients, pouvait être utilisé pour exécuter du code malveillant. Cette révélation a paniqué les entreprises du monde entier et a fait de la sécurité open source une priorité absolue pour l’Agence de cybersécurité et de sécurité des infrastructures du ministère de la Sécurité intérieure, qui pousse désormais les entreprises à cartographier tous les programmes dont elles dépendent.
« Chaque technologie créée par l'homme contient des défauts qui proviennent de ses créateurs », a déclaré Eric Michaud, cofondateur d'Unciphered.
Stefan Thomas, le technologue qui a créé le logiciel utilisé pour créer les portefeuilles, a déclaré qu'il l'avait fait comme passe-temps et qu'il avait pris la partie clé du code d'un programme publié sur la page d'un étudiant de l'Université de Stanford, sans vérifier si c'était sain. « Au lieu de cela, j'étais obsédé par l'idée de m'assurer de ne commettre aucune erreur dans mon propre code », a déclaré Thomas. « Je suis désolé pour toute personne touchée par ce bogue ».
Une initiative enclenchée par un adepte précoce du bitcoin
La personne qui a déclenché le processus est l’investisseur Nick Sullivan, un adepte précoce du bitcoin qui a utilisé le site Blockchain.info, rebaptisé depuis Blockchain.com, pour créer un portefeuille en 2014. Peu après, il a effacé la mémoire de son ordinateur sans se rendre compte qu’il n’avait pas enregistré dans son gestionnaire de mots de passe le bloc de lettres et de chiffres qui lui donnerait accès à son compte crypto.
« C’était un ensemble de circonstances assez frustrant », a déclaré Sullivan. À l’époque, il avait perdu environ 18 000 dollars. Ce montant vaut maintenant plus de 600 000 dollars, un montant suffisamment important pour qu’il engage les hackers et les anciens de la NSA chez Unciphered pour essayer de le récupérer.
Unciphered, l’une des rares entreprises spécialisées dans la récupération des fonds électroniques piégés moyennant des frais, a commencé à rechercher l’argent de Sullivan en janvier 2022.
Il s’est avéré que les informations dont Sullivan disposait sur la façon dont il avait créé le compte n’étaient pas suffisantes pour permettre aux experts d’Unciphered d'entrer dans le portefeuille. Mais en étudiant le problème, l’équipe d’Unciphered a découvert un problème plus important : le code de Thomas, connu sous le nom de BitcoinJS, qui était censé créer des portefeuilles avec des clés aléatoires, ne les rendait pas toujours suffisamment aléatoires.
Comme pour ne rien arranger, BitcoinJS de Thomas a été utilisé non seulement par Blockchain.info mais également par de nombreux autres sites à partir de 2011, y compris la principale source de portefeuilles pour le dogecoin, Dogechain.info.
« BitcoinJS comporte plusieurs failles jusqu'en mars 2014 », a déclaré Michaud. « Quiconque l'utilise directement court un risque très élevé d'attaque ».
Les cryptographes ont découvert des faiblesses dans la façon dont la plupart des principaux navigateurs créaient le hasard en 2014, et ils se sont améliorés par la suite. Blockchain.info et certains autres sites ont également ajouté davantage de caractère aléatoire, rendant les portefeuilles plus difficiles à pirater. Unciphered n'a trouvé aucun portefeuille créé après 2016 qui soit vulnérable en raison d'un faible caractère aléatoire.
Mais cela laisse toujours des millions de portefeuilles vulnérables
Les plus faciles à pirater seraient les portefeuilles créés avant mars 2012, qui contiennent environ 100 millions de dollars et pourraient être piratés par un utilisateur d'ordinateur personnel, a déclaré Michaud.
Un montant supplémentaire de 50 milliards de dollars en bitcoins est stocké dans des portefeuilles créés entre cette date et la fin 2015. La plupart d'entre eux ne sont pas vulnérables, mais au moins 2 % d'entre eux le sont, pour environ 500 millions de dollars supplémentaires, a déclaré Unciphered. Ensuite, il existe d’autres devises avec des services de portefeuille empruntés à BitcoinJS, notamment le dogecoin et le litecoin.
Découvrir la vulnérabilité ne représentait que la moitié du défi. Unciphered devait encore trouver comment dire à des millions de personnes de déplacer leurs fonds, sans révéler l'existence d'une énorme vulnérabilité.
Malheureusement, de nombreux sites de cryptographie qui avaient utilisé le programme défectueux ont cessé leurs activités, tout comme Thomas.
Quelles leçons en tirer ?
Cette affaire illustre les risques liés à la sécurité des portefeuilles numériques et à la gestion des clés privées.
Les experts en bitcoin avaient depuis longtemps mis en garde contre l’utilisation des portefeuilles cérébraux, qui étaient considérés comme une mauvaise idée. Ils recommandent plutôt d’utiliser des portefeuilles numériques qui utilisent des fonctions de hachage plus robustes, avec du sel cryptographique et du key stretching, pour rendre les clés privées plus difficiles à craquer. Ils conseillent également de sauvegarder sa clé privée sur un support physique, comme du papier ou une clé USB, et de la conserver dans un endroit sûr. Enfin, ils suggèrent d’utiliser des portefeuilles numériques qui nécessitent plusieurs signatures (multisig) pour autoriser les transactions, ce qui ajoute une couche de sécurité supplémentaire.
Si vous avez créé un portefeuille numérique avant 2016, il se peut que votre argent soit en danger. Il est donc conseillé de vérifier le type de portefeuille que vous utilisez et de changer de clé privée si nécessaire. Il vaut mieux prévenir que guérir, surtout quand il s’agit de protéger ses bitcoins.
Une expérience similaire (« perte » d'un mot de passe) a conduit à la fermeture d'une société crypto
Prime Trust se présente comme une société crypto fintech créée pour offrir à d’autres startups des plans de retraite en cryptomonnaie, des interfaces KYC, à assurer la liquidité et une foule d'autres services. L’entreprise a procédé à une déclaration de faillite dans laquelle elle déclare « la perte » du mot de passe d’un portefeuille physique contenant 38,9 millions de dollars comme l’un des motifs de sa situation. En sus, il ressort de la déclaration de faillite que Prime Trust a investi dans TerraUSD et a subi des pertes de 6 millions de dollars sur les fonds des clients en plus des 2 millions de dollars US de la société elle-même.
C’est le type de tableau qui n’est pas sans faire penser au roi du bitcoin brésilien qui a affirmé en 2019 que sa société avait été piratée et avait perdu plus de 7000 bitcoins. Ce dernier aurait ensuite demandé et obtenu auprès des autorités brésiliennes un redressement judiciaire afin de réorganiser ses finances. Mais une enquête de trois ans, menée sur lui et son entreprise par les autorités policières, allègue que Oliveira et son groupe se sont engagés dans des escroqueries et des détournements de fonds.
Grosso modo, le schéma qui semble s’être imposé comme la norme dans la filière de la cryptomonnaie est que l’entreprise démarre, tourne pendant un moment et tourne à l’escroquerie. Et c’est ce qui ravive le débat sur la question de savoir si la cryptomonnaie est une escroquerie ou plutôt le socle d’une révolution monétaire amorcée.
Source : Les experts d’Unciphered via Washington Post
Et vous ?
Que pensez-vous de la sécurité des portefeuilles de bitcoin ? Faites-vous confiance au code open source qui les crée ?
Avez-vous déjà perdu ou oublié votre mot de passe pour accéder à votre compte crypto ? Si oui, comment avez-vous essayé de le récupérer ?
Que feriez-vous si vous découvriez une faille de sécurité qui pourrait vous permettre de voler des millions de dollars en bitcoin ? La signaleriez-vous ou en profiteriez-vous ?
Quelles sont les mesures que les autorités devraient prendre pour réguler les cryptomonnaies et prévenir les vols et les fraudes ?
Pensez-vous que les cryptomonnaies sont l’avenir de la finance ou une mode passagère ? Quels sont les avantages et les inconvénients de ces monnaies virtuelles ?
Voir aussi :
Qu'est-il advenu de l'expérience du Salvador avec le bitcoin ? Deux ans plus tard, le projet s'avère un flop, les Salvadoriens se méfient de la volatilité du bitcoin et sont réticents à l'adopter
La crypto-monnaie est une arnaque sans précédent pour le développeur Stephen Diehl, qui voit en elle une menace à l'économie réelle
Le PDG d'une plateforme crypto, à l'origine d'une escroquerie de 2,5 milliards de dollars, est arrêté et risque 40 564 ans de prison, des membres de sa famille sont déjà sous les verrous