Attention : walletgenerator.net génère des couples clés privées/publiques identiques
Les paper wallets sont obtenus par une génération aléatoire du couple clé publique/clé privée. Mais quand l’aléatoire ne l’est pas suffisamment, cela peut générer des failles de sécurité graves, comme celle qui vient d’être détectée pour le site WalletGenerator.
Découverte par Harry Denley, chercheur en cybersécurité pour MyCrypto.com, cette vulnérabilité a vu générer des paires identiques de clés publiques/privées pour plusieurs utilisateurs de WalletGenerator.net.
Le code source actuel du générateur aléatoire de paper wallet Bitcoin n’est plus le même que celui disponible sur GitHub depuis le 17 août 2018. Le chercheur a découvert une duplication à l’identique, totalement anormale, des adresses créées avec le code actuel :
« (…) nous avons ensuite utilisé le générateur « Bulk Wallet » pour générer 1 000 clés. Dans la version non malveillante de GitHub, on nous donne 1000 clés uniques, comme prévu.
Cependant, en utilisant WalletGenerator.net à différents moments entre le 18 mai 2019 et le 23 mai 2019, nous n’avions que 120 clés uniques par session [sur 1000] (…) ».
Bien que cette vulnérabilité n’ait plus été constatée depuis le 24 mai, le chercheur recommande fortement aux utilisateurs ayant créé leur paper wallet sur le site avant le 17 août 2018 de transférer leurs fonds vers un wallet plus sûr.
La vulnérabilité pouvant réapparaître, il recommande également de ne plus utiliser WalletGenerator jusqu’à ce que le pourquoi de cette faille ait été éclairci.
Car bien que les développeurs de WalletGenerator (contactés le 22 mai par Harry Denley) semblent avoir corrigé la faille, nul ne sait qui a intégré cette faille, puisque le code du générateur aléatoire du site n’est plus open source.
Si vous souhaitez connaître en détail les explications techniques de la découverte de cette faille, rendez-vous ici.
Cela nous permet de faire notre traditionnel rappel sur la sécurité. Il est toujours préférable de stocker ses clés privées & publiques hors ligne, mais également de les générer hors ligne. Nous faisons ainsi les recommandations habituelles : lorsque vous stockez hors exchange, privilégiez toujours un hardware wallet, le plus performant en termes de sécurité étant le Ledger Nano.