Il réalise le hack impossible et extrait 2 millions de dollars d’un wallet Trezor
Super-White Hat à la rescousse – Le hacker de hardware Joe Grand a récemment réussi à pirater un portefeuille Trezor sur lequel était « perdu » l’équivalent de 2 millions de dollars en cryptomonnaie. Après plusieurs mois de tests, le pirate au chapeau blanc est parvenu à contourner la sécurité du portefeuille et a ainsi pu rendre le butin à ses propriétaires.
Un happy ending pour les cryptomonnaies égarées
L’histoire commence en 2018 quand Dan Reich et un de ses amis décident d’acheter pour 50 000$ de la cryptomonnaie $THETA.
À l’époque, celle-ci est encore très jeune et le token s’échange pour à peine 0.2 $. Leur investissement est rapidement stocké sur un hardware wallet Trezor, pour ensuite passer un certain temps aux oubliettes. Les mois passent, $THETA prend de la valeur… et le code PIN du portefeuille est perdu.
Les 50 000$ initialement investis valent maintenant 2 millions de dollars. Les deux amis ont droit à 16 tentatives pour retrouver leur code PIN. Si toutes les tentatives échouent, le contenu du wallet sera effacé et perdu pour de bon. La 12ᵉ tentative se solde par un nouvel échec : il faut trouver une autre solution pour éviter la catastrophe. Et si cette solution était Joe Grand ? Le hacker de hardware – plus connu sous le pseudonyme de Kingpin – est appelé à l’aide. Il accepte la proposition de Dan et son ami et se lance alors le défi de craquer la sécurité d’un des hardware wallets les plus fiables du moment.
>> Jouez la sécurité ! Inscrivez-vous sur Binance, et économisez 10% de frais (lien commercial) <<
Un Trezor bien cadenassé
Même pour un expert, briser les sécurités et accéder au code PIN d’un hardware wallet n’est pas une mince affaire. Alors que les jours et les échecs s’enchaînent, Kingpin trouve enfin la solution : l’attaque par faute.
« En cryptanalyse, les attaques par faute sont une famille de techniques qui consistent à produire volontairement des erreurs dans le crypto-système. Ces attaques peuvent porter sur des composants matériels ou logiciels. Elles ont pour but de provoquer un comportement inhabituel des opérations cryptographiques dans le but d’en extraire des informations secrètes (comme une clé de chiffrement). »
Définition Wikipedia d’une Attaque par faute
Une fois l’attaque lancée, Joe Grand aura patienté plus de 3 heures avant que la puce de silicium n’émette les premières erreurs nécessaires à l’accès au code PIN.
« Nous provoquons essentiellement un mauvais comportement sur la puce de silicium à l’intérieur de l’appareil afin de vaincre la sécurité. Et ce qui s’est passé, c’est que j’étais assis ici à regarder l’écran de l’ordinateur et j’ai vu que j’étais capable de vaincre la sécurité, les informations privées, la graine de récupération (« seed »)et le code PIN que j’allais voir apparaître sur l’écran. »
Joe Grand
Finalement, les deux amis ont pu récupérer l’accès à leurs cryptomonnaies, d’une valeur actuelle de 2 millions de dollars. Mais le coup de maître de Joe Grand a également suscité certaines interrogations quant au niveau de sécurité de ces portefeuilles. Bien que Trezor ait annoncé avoir corrigé les failles exploitées par Kingpin, beaucoup s’inquiètent que leur hardware wallet ne soit, en fin de compte, peut-être pas si impénétrable que ça.
Si arrivé à la fin de cet article, vous n’êtes toujours pas convaincu de l’importance vitale de prendre le train de Bitcoin et des cryptomonnaies, quittons-nous bons amis : rien ni personne n’y parviendra ! À défaut, n’attendez plus pour préparer l’avenir. Courez vous inscrire sur Binance, LA référence absolue des exchanges cryptos, et économisez 10% sur vos frais de trading en suivant ce lien (lien commercial).