2 bidouilleurs viennent de prouver qu’avec un peu d’astuce et beaucoup de persévérance, on pouvait cracker les coffres-forts numériques les mieux gardés.

Leur cible ? Un wallet Bitcoin contenant la bagatelle de 3 millions de dollars, verrouillé par un mot de passe de 20 caractères généré par le gestionnaire de mots de passe Roboform en 2013. Le propriétaire, un certain Michael, avait perdu ce sésame et pensait son magot à jamais inaccessible. Mais c’était sans compter sur la détermination de Joe Grand et de son pote Bruno, bien décidés à relever le défi.

Michael, propriétaire de la cryptomonnaie depuis 2013, avait stocké ses 43,6 BTC (valant environ 5 300 dollars à l’époque et environ 3 millions aujourd’hui) dans un fichier chiffré par TrueCrypt contenant le mot de passe généré par Roboform, qu’il n’avait pas entré dans le gestionnaire de mots de passe par peur d’un hack. Malheureusement, le fichier chiffré s’est retrouvé corrompu, et Michael perdit l’accès à son portefeuille.

Joe Grand, ingénieur électrique et hacker de renom, avait refusé la première demande d’aide de Michael en 2021, jugeant la tâche irréalisable sans une faille dans Roboform. Cependant, en 2022, Michael a retenté sa chance. Après des mois à décortiquer le code de Roboform, Joe Grand et Bruno découvrirent que les anciennes versions d’avant 2015, utilisaient une méthode de génération de mots de passe basée sur l’horloge du système. En connaissant la date et l’heure exacte de création, ainsi que les paramètres du mot de passe, ils ont alors pu reconstituer le mot de passe d’origine.

Initialement, Michael ne se souvenait pas de la date précise de génération de son mot de passe. Selon les journaux de son portefeuille, il avait commencé à y transférer des Bitcoins le 14 avril 2013. En analysant la chronologie et les paramètres habituels, Joe et Bruno cherchèrent d’abord dans la plage du 1er mars au 20 avril 2013, puis jusqu’au 1er juin 2013, sans succès. Ce n’est qu’après de multiples ajustements, et en excluant les caractères spéciaux, qu’ils parvinrent à générer le mot de passe correct créé le 15 mai 2013 à 16:10:40 GMT.

La faille se trouvait dans l’algorithme de génération des mots de passe des anciennes versions de Roboform, qui n’était pas aussi aléatoire que prétendu. Elle permettait de reconstituer un mot de passe en manipulant l’horloge de l’ordinateur pour remonter dans le temps. Tout est expliqué dans la vidéo ci-dessous :

Il est à noter que depuis la version 7.9.14 de juin 2015, Roboform affirme avoir corrigé cette faille et avoir amélioré la génération aléatoire des mots de passe. Cepandand, Joe Grand reste sceptique face à cette déclaration de Roboform car ces derniers n’ont pas recommandé explicitement aux utilisateurs de générer de nouveaux mots de passe pour leurs comptes après cette mise à jour, ce qui laisse potentiellement des mots de passe vulnérables en circulation.

Bref, un mot de passe n’est pas infaillible même s’il est généré par un outil réputé et il vaut mieux utiliser des phrases de passe longues et complexes, les changer régulièrement et activer la double authentification partout où c’est possible. N’ayez pas non plus une confiance aveugle dans les générateurs de mots de passe, surtout s’ils ont quelques années au compteur.

Bref, soyez prudent et bien joué Michael, pour qui la vie va sûrement changer à partir de maintenant.

Source

Avec l’irruption des géants de la finance comme BlacRock, le bitcoin n'a jamais été aussi concentré. La captation des bitcoins par quelques gros portefeuilles, ainsi que la professionnalisation des entreprises de minage participent à une concentration dangereuse. À chaque halving, cette tendance s'accentue.

Le halving du bitcoin, l'un des évènements marquants de ce début d'année 2024 pour les crypto-monnaies, s'est déroulé sans accro. Un mois après, ses premières conséquences sur la célèbre devise et le marché se font sentir.

Le célèbre lanceur d’alerte Edward Snowden vient de tirer la sonnette d’alarme sur Twitter. Selon lui, les développeurs de Bitcoin ont intérêt à se bouger les fesses pour intégrer des fonctionnalités de confidentialité au niveau du protocole, sinon ça va sentir le roussi !

Snowden a balancé ça en réponse à une annonce de Wasabi Wallet qui a dû suspendre ses services pour les utilisateurs américains. Eh oui, les autorités US s’attaquent en ce moment à plusieurs projets qui osent protéger un tant soit peu la vie privée des utilisateurs de cryptos. Même Trezor, le célèbre fabricant de hardware wallets, a dû mettre un terme à sa fonctionnalité CoinJoin qui permettait d’anonymiser un peu les transactions.

C’est la suite logique de l’arrestation du fondateur de Tornado Cash, l’année dernière que le département de la justice américain (DOJ) accuse carrément de blanchiment d’argent et de complot ! Tout ça parce qu’ils ont développé un outil pour protéger la vie privée des utilisateurs…

Mais c’est la définition même de « service de transmission monétaire » qui pose problème puisque les procureurs US ont décidé de l’étendre à toutes les sauces, même aux développeurs de wallets qui n’ont aucun contrôle direct sur les fonds des utilisateurs. Autant dire que ça fout un sacré bordel.

Coin Center, un groupe de défense des libertés numériques, parle carrément de violation de la liberté d’expression et de la vie privée et estime que la position du DOJ est une interprétation agressive et démesurée de la loi. Même le FBI s’y met en mettant en garde les Américains contre l’utilisation de services non enregistrés.

Alors qu’est ce que ça implique concrètement pour les utilisateurs lambda ? Eh bien, disons que si vous tenez à votre vie privée, il va falloir redoubler de prudence parce que les plateformes qui exigent une vérification d’identité (le fameux KYC) sont de véritables pièges ! Une fois que votre wallet perso a interagi avec l’une d’entre elles, c’est foutu puisque tout votre historique de transactions en plus d’être exposée au grand jour, est forcement lié à votre identité.

Heureusement, il existe encore quelques solutions pour garder un semblant d’anonymat. Les monnaies confidentielles comme Monero ou Zcash par exemple, qui intègrent des mécanismes de confidentialité directement dans leur protocole. Mais attention, même ces outils ne sont pas parfaits et nécessitent de bien savoir ce qu’on fait.

En attendant, on ne peut qu’espérer que les développeurs de Bitcoin et des autres cryptos prennent au sérieux cet avertissement de Snowden et se bougent pour intégrer des fonctionnalités de confidentialité robustes au cœur même des protocoles. Des mécanismes comme les preuves à divulgation nulle de connaissance (zk-SNARKs) pourraient permettre d’avoir une vraie confidentialité au niveau protocolaire.

En tout cas, une chose est sûre : la bataille pour la vie privée est loin d’être gagnée et il va falloir rester vigilants si vous ne voulez pas vous retrouver à poil sur la blockchain !

Source