Attention : walletgenerator.net génère des couples clés privées/publiques identiques

Trading du coin Recevez notre sélection de cryptos en surveillance

Les paper wallets sont obtenus par une génération aléatoire du couple clé publique/clé privée. Mais quand l’aléatoire ne l’est pas suffisamment, cela peut générer des failles de sécurité graves, comme celle qui vient d’être détectée pour le site WalletGenerator.

Découverte par Harry Denley, chercheur en cybersécurité pour MyCrypto.com, cette vulnérabilité a vu générer des paires identiques de clés publiques/privées pour plusieurs utilisateurs de WalletGenerator.net.

Le code source actuel du générateur aléatoire de paper wallet Bitcoin n’est plus le même que celui disponible sur GitHub depuis le 17 août 2018. Le chercheur a découvert une duplication à l’identique, totalement anormale, des adresses créées avec le code actuel :

« (…) nous avons ensuite utilisé le générateur “Bulk Wallet” pour générer 1 000 clés. Dans la version non malveillante de GitHub, on nous donne 1000 clés uniques, comme prévu.

Cependant, en utilisant WalletGenerator.net à différents moments entre le 18 mai 2019 et le 23 mai 2019, nous n’avions que 120 clés uniques par session [sur 1000] (…) ».

Même en utilisant des VPN pour générer des clés depuis différents emplacements géographiques, la clé “4798d… aa1fc59” est générée plusieurs fois ! – Source : blog Medium de MyCrypto

Bien que cette vulnérabilité n’ait plus été constatée depuis le 24 mai, le chercheur recommande fortement aux utilisateurs ayant créé leur paper wallet sur le site avant le 17 août 2018 de transférer leurs fonds vers un wallet plus sûr.

La vulnérabilité pouvant réapparaître, il recommande également de ne plus utiliser WalletGenerator jusqu’à ce que le pourquoi de cette faille ait été éclairci.

Car bien que les développeurs de WalletGenerator (contactés le 22 mai par Harry Denley) semblent avoir corrigé la faille, nul ne sait qui a intégré cette faille, puisque le code du générateur aléatoire du site n’est plus open source.

Si vous souhaitez connaître en détail les explications techniques de la découverte de cette faille, rendez-vous ici.

Cela nous permet de faire notre traditionnel rappel sur la sécurité. Il est toujours préférable de stocker ses clés privées & publiques hors ligne, mais également de les générer hors ligne. Nous faisons ainsi les recommandations habituelles : lorsque vous stockez hors exchange, privilégiez toujours un hardware wallet, le plus performant en termes de sécurité étant le Ledger Nano.

Rémy R.

Auteur

Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.

*

Toute l’actualité des cryptomonnaies, analyses, vidéos et guides.

Copyright © 2017- 8Decimals - Tous droits réservés.

PARTAGER