2 bidouilleurs viennent de prouver qu’avec un peu d’astuce et beaucoup de persévérance, on pouvait cracker les coffres-forts numériques les mieux gardés.

Leur cible ? Un wallet Bitcoin contenant la bagatelle de 3 millions de dollars, verrouillé par un mot de passe de 20 caractères généré par le gestionnaire de mots de passe Roboform en 2013. Le propriétaire, un certain Michael, avait perdu ce sésame et pensait son magot à jamais inaccessible. Mais c’était sans compter sur la détermination de Joe Grand et de son pote Bruno, bien décidés à relever le défi.

Michael, propriétaire de la cryptomonnaie depuis 2013, avait stocké ses 43,6 BTC (valant environ 5 300 dollars à l’époque et environ 3 millions aujourd’hui) dans un fichier chiffré par TrueCrypt contenant le mot de passe généré par Roboform, qu’il n’avait pas entré dans le gestionnaire de mots de passe par peur d’un hack. Malheureusement, le fichier chiffré s’est retrouvé corrompu, et Michael perdit l’accès à son portefeuille.

Joe Grand, ingénieur électrique et hacker de renom, avait refusé la première demande d’aide de Michael en 2021, jugeant la tâche irréalisable sans une faille dans Roboform. Cependant, en 2022, Michael a retenté sa chance. Après des mois à décortiquer le code de Roboform, Joe Grand et Bruno découvrirent que les anciennes versions d’avant 2015, utilisaient une méthode de génération de mots de passe basée sur l’horloge du système. En connaissant la date et l’heure exacte de création, ainsi que les paramètres du mot de passe, ils ont alors pu reconstituer le mot de passe d’origine.

Initialement, Michael ne se souvenait pas de la date précise de génération de son mot de passe. Selon les journaux de son portefeuille, il avait commencé à y transférer des Bitcoins le 14 avril 2013. En analysant la chronologie et les paramètres habituels, Joe et Bruno cherchèrent d’abord dans la plage du 1er mars au 20 avril 2013, puis jusqu’au 1er juin 2013, sans succès. Ce n’est qu’après de multiples ajustements, et en excluant les caractères spéciaux, qu’ils parvinrent à générer le mot de passe correct créé le 15 mai 2013 à 16:10:40 GMT.

La faille se trouvait dans l’algorithme de génération des mots de passe des anciennes versions de Roboform, qui n’était pas aussi aléatoire que prétendu. Elle permettait de reconstituer un mot de passe en manipulant l’horloge de l’ordinateur pour remonter dans le temps. Tout est expliqué dans la vidéo ci-dessous :

Il est à noter que depuis la version 7.9.14 de juin 2015, Roboform affirme avoir corrigé cette faille et avoir amélioré la génération aléatoire des mots de passe. Cepandand, Joe Grand reste sceptique face à cette déclaration de Roboform car ces derniers n’ont pas recommandé explicitement aux utilisateurs de générer de nouveaux mots de passe pour leurs comptes après cette mise à jour, ce qui laisse potentiellement des mots de passe vulnérables en circulation.

Bref, un mot de passe n’est pas infaillible même s’il est généré par un outil réputé et il vaut mieux utiliser des phrases de passe longues et complexes, les changer régulièrement et activer la double authentification partout où c’est possible. N’ayez pas non plus une confiance aveugle dans les générateurs de mots de passe, surtout s’ils ont quelques années au compteur.

Bref, soyez prudent et bien joué Michael, pour qui la vie va sûrement changer à partir de maintenant.

Source

Avec l’irruption des géants de la finance comme BlacRock, le bitcoin n'a jamais été aussi concentré. La captation des bitcoins par quelques gros portefeuilles, ainsi que la professionnalisation des entreprises de minage participent à une concentration dangereuse. À chaque halving, cette tendance s'accentue.

Grosse panique sur la blockchain Ethereum ! Alors qu’on pensait la technologie des registres distribués imparable, voilà qu’elle se fait braquer en un clin d’œil par deux petits génies de l’informatique. Anton et James Peraire-Bueno, deux frérots qui ont étudié au MIT, une des facs les plus prestigieuses des States, ont mis au point un plan diabolique pour s’enrichir sur le réseau Ethereum.

Les frangins ont bien travaillé et ont réussi à exploiter une vulnérabilité dans le protocole mev-boost, qui permet aux validateurs de vendre leur espace de bloc à un marché ouvert d’acteurs spécialisés appelés « builders ». En se faisant passer pour des validateurs légitimes, les frères ont pu accéder au contenu des blocs avant leur publication et en extraire des transactions lucratives !

Résultat des courses : 20 millions de dollars de cryptos qui s’envolent en quelques secondes chrono. Un casse éclair daté du 3 avril 2023, qui en laisse plus d’un sur le carreau et qui pourrait bien faire trembler tout l’écosystème. C’est que la confiance, c’est la base des échanges sur ces réseaux !

Mais attention, les frères Peraire-Bueno sont loin d’être des enfants de chœur. Pour planquer leur magot, ces petits malins ont tout prévu : des sociétés-écrans, des comptes dans tous les sens et même un plan d’attaque en règle pour brouiller les pistes. Sauf que c’était sans compter sur les fins limiers du fisc américain, qui ont flairé l’embrouille et décortiqué tout le stratagème. Parce que bon, faire des recherches sur Google pour savoir comment blanchir du pognon, c’est un peu cramé comme technique… Bref, les frangins risquent maintenant 20 ans à l’ombre pour chaque chef d’accusation. Pas sûr que ça valait le coup !

Mais au-delà de l’histoire rocambolesque, c’est toute la sécurité des blockchains qui est remise en question. Si même le sacro-saint Ethereum peut se faire dépouiller en deux temps trois mouvements, où va-t-on ? Les experts s’écharpent déjà sur les forums pour savoir si c’est un bug isolé ou une faille béante dans le système de « proposer-builder separation » (PBS) utilisé par mev-boost.

Heureusement, la communauté Ethereum réagit rapidement. Un patch a été déployé dès le 3 avril pour colmater la brèche exploitée par les frères Peraire-Bueno. D’autres vulnérabilités potentielles ont aussi été identifiées et des contre-mesures mises en place, comme l’ajout d’un délai limite pour empêcher les validateurs malveillants de demander un bloc trop tard.

Mais bon, il reste encore du boulot alors on espère que les développeurs, chercheurs en sécurité, opérateurs de relais mev-boost… travailleront main dans la main pour renforcer le protocole mev-boost et les futures implémentations de PBS.

Pour en savoir plus sur les détails de cette affaire, vous pouvez consulter l’annonce du Department of Justice et l’acte d’accusation officiel. Et pour aller plus loin, jetez un oeil au dépôt GitHub de mev-boost et aux discussions de la communauté autour de cet incident.

Les hackers du pouvoir nord-coréen chassent leurs futures victimes sur le réseau professionnel LinkedIn. Ils se font passer pour des recruteurs et piègent leur cible avec des documents malveillants. Nous sommes partis à la recherche de ces faux profils avec un expert.

Des hackers du groupe BlackCat ont reçu une rançon d'environ 20 millions d'euros provenant d'une société d'assurance, puis ont disparu avec l'argent pour ne pas avoir à partager les gains avec les autres malfrats.