Le portefeuille (wallet) sécurisé pour crypto-monnaie, présenté comme ‘impénétrable’ par son auteur Bitfi, a été piraté au bout d’une semaine déjà. L’entreprise même et John McAfee avaient promis une récompense totale de 350.000 dollars qui a attiré de nombreux chercheurs.
Le crypto-portefeuille Bifti est un appareil mobile qui, selon l’entreprise même, est ‘impénétrable’. Il a même réussi à être approuvé par l’expert en sécurité bien connu John McAfee, l’homme qui fonda autrefois McAfee et qui défraie entre-temps surtout la chronique par des coups médiatiques, dont le plus récent a été de promettre une récompense pour la personne qui serait la première à pirater ce Bitfi ‘impénétrable’. Au bout d’une semaine environ, c’en est déjà terminé et ce, même si cela prend aujourd’hui les airs d’une partie de ping-pong.
Impénétrable…
Le portefeuille Bitfi est un appareil vendu quelque 120 dollars, qui se connecte au réseau wifi et qui conserve les crypto-espèces avec cryptage par mot de passe. Ce mot de passe génère en quelques millisecondes une clé privée permettant de déchiffrer les données. L’objectif est de créer un environnement sûr pour le stockage de crypto-monnaies et d’autres biens numériques.
Selon Bitfi même, il s’agit ‘de l’instrument le plus sophistiqué au monde’. Dans le cadre d’une solide campagne de marketing, l’appareil a reçu le soutien de John McAfee, qui a promis une récompense de 100.000 dollars à quiconque pourrait le pirater en premier. Le montant fut ultérieurement rehaussé à 350.000 dollars par Bitfi même.
Voilà qui ne manqua pas d’attirer l’attention de chercheurs de tous poils. Les premiers indices alarmants se manifestèrent il y a quelques jours déjà. Une fois ouvert, l’appareil s’avéra être un téléphone Android bon marché, dont on avait enlevé quelque composants (notamment la puce pour appeler en mobile), mais intégrant le bloatware (logiciel envahissant) Baidu et le malware Adups. Des chercheurs parvinrent notamment à atteindre les racines (‘roots’) de l’appareil en y appliquant la procédure de démarrage de la puce Mediatek.
Ce que la recherche démontra cependant – en soi une idée sacrément bonne et sûre -, c’est que l’appareil même ne stocke rien. La crypto-monnaie reste stockée dans l’online exchange, et Bitfi veille uniquement à l’accès à cette plate-forme. Il réduit à néant les piratages déjà tentés, parce qu’ils ne parviennent pas à déchiffrer le mot de passe.
Vous avez dit ‘impénétrable’?
Tout cela a irrémédiablement engendré un litige sur Twitter entre le collectif de chercheurs d’une part et Bitfi plus McAfee d’autre part. La récompense de 350.000 dollars est en soi déjà tout à fait spéciale. Le chercheur reçoit un appareil Bitfi avec 50 dollars en crypto-espèces, ainsi qu’un mot de passe inconnu, et doit tenter d’en extraire l’argent. Mission évidemment impossible, puisque tant l’argent que le mot de passe ne sont pas stockés dans l’appareil.
Les chercheurs estiment toutefois que cette méthode n’est pas la seule manière d’accéder à l’argent d’une véritable victime. “La seule façon de remporter la récompense, c’est de mettre la main sur la clé d’un appareil qui ne stocke aucune clé. Mais il y a nettement plus d’attaques auxquelles ce genre d’appareil peut être vulnérable”, écrit le chercheur d’Infosec Andrew Tierney. “La plus évidente consiste à adapter l’appareil, de manière à prélever la clé et à l’envoyer à un tiers. Mais cette méthode n’est pas couverte par la récompense. Pourquoi pas? Parce que la récompense est elle-même un faux-fuyant.”
Les chercheurs observent qu’aucune mesure n’est prise par exemple pour préciser si quelqu’un a ouvert le boîtier de l’appareil pour y bidouiller le hardware, avant d’aboutir chez la victime. Scénarios possibles: quelqu’un y installe un logiciel qui enregistre le mot de passe que la victime saisit sur l’écran tactile. Ou quelqu’un, via une porte dérobée, met sur écoute la victime qui dialogue avec son portefeuille, tout cela évidemment avant que l’appareil n’arrive chez le client.
John McAfee a entre-temps annoncé qu’il va sortir une vidéo destinée à réfuter toutes les accusations. Affaire à suivre sans aucun doute.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici