Le code source du wallet Salvadorien Chivo publié sur internet par des hackers
En juin 2021, le Salvador a pris à revers le monde entier en faisant de Bitcoin une monnaie à cours légal. Depuis, le pays multiplie les projets autour de la reine des cryptomonnaies. Volcano Bonds, Bitcoin City et tant d’autres, les projets du président Nayib Bukele sont multiples. Toutefois, de récents hacks ciblant Chivo, le wallet Bitcoin national fait grand bruit.
Leak massif : l’identité de 5 millions de Salvadoriens publiés sur internet
Le mois d’avril n’est pas de tout repos pour les officiels Salvadoriens. Lors de l’approbation de Bitcoin en tant que monnaie légale, le gouvernement a également dévoilé Chivo le portefeuille Bitcoin officiel du Salvador. Pour enclencher son adoption, 30$ en BTC étaient offerts à chaque citoyen ayant téléchargé Chivo.
Malheureusement, la fête aura été de courte durée. En août 2023, le site Databreach dévoile qu’une base de donnée de 114 Go contenant les données personnelles de 5,1 millions de Salvadoriens était en vente sur internet. Cette base contient le nom complet, le permis de conduire, la date de naissance, l’adresse, le téléphone, l’adresse électronique et une photo HD du visage.
Dans un premier temps, certains observateurs ont envisagé qu’il puisse s’agir de données issues d’une base de données de vaccination. Toutefois, l’absence d’information médicale a fait planer le doute quant à cette théorie.
Finalement, le 9 avril dernier, le média Protos a révélé que cette base de données était désormais disponible gratuitement sur internet. Selon l’auteur, certes crypto-sceptique, David Gerard il s’agirait en réalité des données récoltées par l’application Chivo lors du KYC.
« Cette faille est (a) incroyablement mauvaise (b) la chose la moins surprenante qui soit. J’ai parlé aux personnes qui ont prévenu le gouvernement des semaines avant le lancement de Chivo de ce qui allait se passer, et c’est bien sûr ce qui s’est passé. »
A-t-il déclaré sur X.
Toutefois, aucune information ne permet actuellement de remonter sur l’origine exacte de ces données. Databreach avait quant à eux dévoilé que les données proviendraient d’une sauvegarde cloud d’un membre du gouvernement. Du moins c’est ce qu’avait déclaré leur contact au moment des faits, sans pouvoir confirmer la véracité de la source.
Le code source de Chivo publié en ligne
Nouveau rebondissement pour Chivo mardi 23 avril. Un groupe de hacker, appelé CiberInteligenciaSV, a publié sur le forum BreachForums le code source du wallet Chivo.
« Cette fois, je vous apporte le code qui se trouve à l’intérieur du portefeuille Bitcoin Chivo Wallet ATMs au Salvador, rappelez-vous qu’il s’agit d’un portefeuille gouvernemental, et comme vous le savez, nous ne vendons pas, nous publions tout gratuitement pour vous. »
La veille, les experts en cybersécurité de VenariX avaient alerté sur X de la publication imminente du code source suite à un message sur le Telegram de CiberInteligenciaSV.
Les fichiers publiés par CiberInteligenciaSV contiennent également un fichier intitulé Codigo.rar. Celui-ci contient une compilation du code et des identifiants VPN du réseau de distributeurs automatiques de billets Chivo Wallet.
De son côté, le gouvernement salvadorien n’a pas encore communiqué quant aux hacks et à la publication du code source de Chivo. Celui-ci a toutefois annoncé le 11 avril dernier, l’émission de la première dette tokenisée au Salvador en partenariat avec Bitfinex Securities. Les 6,25 millions de dollars d’actifs tokenisés financeront la construction d’un nouvel hôtel à l’aéroport international du Salvador.