Une startup américaine de sécurité s'affiche comme le dernier espoir des millionnaires du bitcoin privés de leurs magots après avoir perdu le mot de passe de leurs portefeuilles. Elle prétend avoir mis au point une technique permettant de déverrouiller une clé USB IronKey chiffrée dont le propriétaire a oublié le mot de passe. Ces clés USB sont souvent utilisées par les propriétaires de cryptomonnaies pour stocker en toute sécurité leurs actifs numériques. La startup a proposé récemment son aide à un propriétaire d'une clé USB IronKey verrouillée contenant 7 002 bitcoins d'une valeur d'environ 240 milliards de dollars au prix d'échange actuel, mais ce dernier a décliné l'offre.L'histoire de Stephen Thomas, un programmeur d'origine allemande vivant à San Francisco, anime les débats dans la communauté des cryptomonnaies depuis quelques années maintenant. Il y a plus de dix ans, Thomas aurait reçu 7 002 bitcoins en échange de sa participation à la production d'une vidéo d'animation sur la cryptomonnaie naissante. Il aurait stocké ses bitcoins sur une clé USB hautement chiffrée, connue sous le nom d'IronKey, et aurait noté le mot de passe sur une feuille de papier dans le but de le conserver. Le problème, c'est que cette feuille de papier a disparu et la cryptomonnaie est depuis lors bloquée dans un purgatoire numérique.
IronKey est le nom de marque d'une famille de dispositifs de stockage portables USB chiffrés appartenant à Kingston Digital, une entreprise de mémoire flash détenue par Kingston Technology Company Inc. Les IronKey sont conçus pour effacer définitivement leur contenu si quelqu'un essaie seulement 10 mots de passe incorrects. Le programmeur allemand a révélé en 2021 avoir déjà épuisé 8 essais, ce qui signifie qu'après deux nouvelles tentatives erronées, il perdra définitivement ses bitcoins et peut dire adieu à sa petite fortune pour toujours. Les 7 002 bitcoins, que Thomas dit avoir reçus en 2011, valent aujourd'hui un plus de 240 millions de dollars.
Bien que l'histoire de Thomas aime plusieurs débats depuis lors, elle n'a pas convaincu tout le monde. Certains critiques ont émis quelques doutes sur les déclarations de Thomas et préfèrent les prendre avec des pincettes. Toutefois, la société de données Chainalysis a déclaré que de nombreux propriétaires de bitcoins se trouvaient dans la même situation. Dans un rapport publié en janvier 2021, Chainalysis indiquait qu'environ 20 % des bitcoins extraits à l'époque - soit 18,5 millions de bitcoins qui valaient environ 643 milliards de dollars - semblaient se trouver dans des portefeuilles perdus ou verrouillés. Certains de ses bitcoins ont pu être récupérés.
L'histoire de Thomas ne s'arrête pas là et vient de prendre une tournure étrange. Thomas a raconté sa mésaventure dans une interview accordée au New York Times en 2021. À la même époque, une équipe de hackers et de cryptographes a formé une startup appelée Unciphered, spécialisée dans le piratage de dispositifs de stockage verrouillés. Au début de l'année 2023, l'équipe a commencé à travailler sur des dispositifs IronKey similaires à celui de Thomas, dans le cadre d'une opération qu'ils ont appelée Projet Everest. Dans un article publié mardi, Andy Greenberg de Wired a déclaré que l'équipe d'Unciphered lui a fourni une preuve de concept.
« Les hackers d'Unciphered avaient mis au point une technique secrète de cassage de mot de passe IronKey - qu'ils ont toujours refusé de décrire en détail à moi ou à toute autre personne extérieure à leur entreprise - qui leur permettait d'effectuer un nombre infini d'essais [sur les clés IronKey verrouillées]. Ma clé USB était arrivée au laboratoire d'Unciphered le mardi, et j'ai été quelque peu surpris de voir ma phrase de passe de trois mots m'être renvoyée par SMS dès le lendemain matin. Smith [de l'équipe d'Unciphered] m'a dit qu'avec l'aide d'un ordinateur très performant, le processus n'avait pris que 200 000 milliards d'essais », indique son rapport.
L'équipe d'Unciphered aurait réussi à lire le contenu d'une clé IronKey déchiffré pour la toute première fois en juillet. « Nous venons d'atteindre le sommet de l'Everest », a déclaré Eric Michaud, PDG d'Unciphered. Depuis, l'équipe aurait déverrouillé des dispositifs IronKey plus d'un millier de fois - toujours de manière non destructive. Avec un tel taux de réussite, on pourrait penser que Thomas serait impatient de conclure un accord avec Unciphered et d'avoir enfin accès à ses bitcoins, mais ce n'est pas le cas. Le rapport indique que la société américaine a contacté Thomas par l'intermédiaire d'un associé commun, mais ce dernier a poliment refusé son aide.
L'appel n'aurait même pas permis de discuter de la commission ou des frais d'Unciphered avant que Thomas ne décline poliment l'offre. Il aurait déclaré qu'il travaillait déjà avec deux autres groupes d'experts sur la récupération et qu'il n'était pas en mesure de négocier avec quelqu'un d'autre pour l'instant. Pour éviter que les deux équipes ne se fassent concurrence, il leur aurait offert à chacune une partie des recettes si l'une ou l'autre parvenait à déverrouiller la clé. Selon le rapport, Thomas a déclaré : « il est possible que l'équipe actuelle décide de sous-traiter à Unciphered si elle estime que c'est la meilleure option. Nous devrons attendre et voir ».
Mais même un an plus tard, il reste déterminé à donner à ces équipes plus de temps pour travailler sur le problème avant de faire appel à quelqu'un d'autre, même si aucune de ces équipes n'a montré le moindre signe de réussite dans le déchiffrement qu'Unciphered dit avoir réalisé. Unciphered se retrouve donc dans une situation étrange : elle détient ce qui est potentiellement l'un des outils de crochetage de serrure les plus précieux dans le monde des cryptomonnaies, mais n'a pas de serrure à crocheter. L'attitude de Thomas suscite de nouveau des critiques et conforte les précédentes allégations selon lesquelles il ne détient pas 7 200 bitcoins.
« Personne n'attend indéfiniment 240 millions de dollars, alors qu'il pourrait les avoir maintenant presque sûrement. S'il avait vraiment des éléments d'une telle valeur sur la clé USB, il aurait dit à son contractant actuel de faire le nécessaire et de passer un accord avec la nouvelle équipe s'il le fallait, sous peine de perdre le contrat. Je soupçonne donc que la demande initiale était une connerie et qu'il ne s'attendait pas à ce que quelqu'un ait la possibilité de la prouver », a écrit un critique. Un autre préfère tourner la chose en dérision : « il est difficile de le croire. Il est possible que la clé soit vide ou que la seule chose qu'elle contient soit un fichier autorun.inf ».
Dans les commentaires, certains s'en sont également pris au fabricant des clés USB IronKey. L'un d'entre eux a déclaré : « je tiens simplement à souligner à quel point il est ridicule de construire un dispositif de stockage qui détruit son contenu après seulement 10 tentatives infructueuses. Le fabricant semble avoir confondu la réalité et la science-fiction. Les données qu'ils stockent sont trop importantes pour que le propriétaire les perde aussi facilement. Il serait possible d'augmenter ce nombre à 100 sans diminuer la sécurité de manière significative, mais cela donnerait au propriétaire une plus grande marge de manœuvre pour accéder à ses données ».
Selon le rapport, la clé USB IronKey, dont le développement aurait été financé en partie par le ministère américain de la Sécurité intérieure, est certifiée FIPS-140-2 niveau 3, ce qui signifie qu'elle est inviolable et que le chiffrement est suffisamment sûr pour être utilisé par les agences militaires et de renseignement pour des informations classifiées. Unciphered n'a toujours pas révélé l'intégralité de son processus de recherche ni les détails de la technique qu'elle a finalement trouvée pour craquer les clés USB IronKey et vaincre son "compteur" qui limite les devinettes de mots de passe. L'entreprise évoque des risques importants pour la sécurité nationale.
L'entreprise affirme que les vulnérabilités qu'elle a découvertes sont dangereuses pour être rendues publiques, étant donné que le modèle d'IronKey qu'elle a craqué est trop vieux pour être corrigé par une mise à jour logicielle. « Si cela devait fuir d'une manière ou d'une autre, les implications pour la sécurité nationale seraient bien plus importantes qu'un portefeuille de cryptomonnaies », note Unciphered.
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'histoire du programmeur susmentionnée ? Selon vous, le programmeur détient-il réellement ces 7 022 bitcoins ? Pourquoi refuse-t-il l'aide d'une société qui veut l'aider à récupérer ses bitcoins ? Que pensez-vous des clés USB IronKey ? Sont-elles aussi sécurisées que le fabricant le prétend ? Que pensez-vous des critiques sur la limitation à 10 du nombre de tentatives pour déverrouiller les clés USB IronKey ? Le fabricant doit-il augmenter ce nombre ? Cette augmentation diminuera-t-elle la sécurité du dispositif ? Pourquoi ?Voir aussi
Des mots de passe perdus privent des millionnaires du bitcoin de leur fortune, environ 140 milliards de dollars en bitcoins seraient dans des portefeuilles perdus ou bloqués Un informaticien est, depuis presque 10 ans, à la recherche d'un disque dur avec désormais l'équivalent de 357 millions de $ en bitcoins, une équipe pluridisciplinaire entre en scène à sa demande 19 millions de bitcoins, sur une limite de 21 millions imposée dès le départ par son créateur, ont déjà été minés. Les experts pensent que le dernier bitcoin sera miné en 2140 
