Si vous avez créé un portefeuille Bitcoin avant 2016, votre argent pourrait être en danger. Un entrepreneur technologique et investisseur a perdu l’accès à plus de 600 000 dollars en Bitcoin en oubliant son mot de passe. Après avoir engagé des experts pour ouvrir le portefeuille, ceux-ci ont échoué mais ont découvert une méthode pour pirater d’autres portefeuilles logiciels, exposant ainsi plus d’un milliard de dollars.
L’équipe derrière cette start-up, Unciphered, a divulgué des informations sur leur méthode dans l’espoir d’alerter les propriétaires de millions de portefeuilles sur le risque potentiel, sans fournir suffisamment de données pour permettre à des criminels d’exploiter une des plus grandes failles de sécurité de tous les temps.
Unciphered a travaillé pendant des mois pour avertir plus d’un million de personnes que leurs portefeuilles sont vulnérables. Cependant, des millions d’autres, dont les portefeuilles ont été créés sur des sites de cryptomonnaie maintenant hors service, n’ont pas été informés.
Cette situation souligne les risques énormes liés aux monnaies expérimentales, au-delà de leurs fluctuations de valeur et des réglementations changeantes. De nombreux portefeuilles ont été créés avec un code présentant des défauts profonds, et les entreprises utilisant ce code peuvent disparaître. C’est également un rappel sévère que, sous l’infrastructure logicielle de toutes sortes, même celles explicitement dédiées à la sécurisation des fonds, se trouvent des programmes open source peu ou pas surveillés.
Chris Wysopal, cofondateur de la société de sécurité Veracode, a souligné que l’open source « vieillit comme le lait. Il finira par tourner ». Le risque de code open source défectueux a été mis en évidence en 2021 avec la découverte que Log4j, un outil omniprésent utilisé par les fournisseurs de services logiciels, pouvait être exploité pour exécuter un code malveillant.
Stefan Thomas, le technologue qui a créé le logiciel utilisé pour ces portefeuilles, a reconnu que son code, BitcoinJS, présentait des failles. Il a utilisé une partie du code provenant d’une page d’un étudiant de l’Université Stanford sans vérifier sa fiabilité.
Unciphered nomme cette faille « Randstorm », car elle provient de programmes de portefeuilles qui créaient des clés cryptographiques insuffisamment aléatoires. Au lieu de produire des clés électroniques quasi-impossibles à falsifier, ils ont créé des clés aléatoires avec une probabilité beaucoup plus faible, facilitant le piratage.
Les portefeuilles créés avant mars 2012 sont les plus faciles à pirater, détenant environ 100 millions de dollars. Environ 50 milliards de dollars de Bitcoin sont stockés dans des portefeuilles créés entre 2012 et fin 2015, dont au moins 2 % sont vulnérables, représentant environ 500 millions de dollars.
Bien que la vulnérabilité ait été découverte, informer les millions de personnes concernées sans révéler la faille était un défi. Les sites de cryptomonnaie ayant utilisé le programme défectueux étaient souvent hors service, tout comme son créateur, Stefan Thomas.
Unciphered a finalement identifié la plus grande ancienne plateforme utilisatrice de BitcoinJS, Blockchain.com, et a réussi à collaborer avec elle pour informer les détenteurs de plus de 1,1 million de portefeuilles vulnérables. Cette collaboration a débuté le 10 octobre 2023.
Les détenteurs de portefeuilles sont encouragés à vérifier la vulnérabilité de leurs portefeuilles sur www.keybleed.com.
Bien que le portefeuille du lanceur d’alerte ne soit pas affecté par cette faille, cet incident souligne la nécessité de la sécurité dans l’écosystème de la cryptomonnaie. La nature expérimentale de ces monnaies, associée à des pratiques de codage défectueuses et à des entreprises éphémères, crée un terrain propice aux risques et aux pertes financières.
