Electrum est un logiciel gratuit qui permet d’installer un portefeuille Bitcoin sur son ordinateur. Electrum wallet est réputé pour sa fiabilité, mais une faille a été récemment découverte, permettant à un tiers de récupérer les bitcoins stockés sur un wallet.
Une faille qui existe depuis 2 ans
C’est « jsmad », un utilisateur de Github qui a découvert le bug, qui permet à tout site hébergeant un Electrum wallet de voler les avoirs des utilisateurs. Les mots de passe des utilisateurs étaient exposés dans l’interface d’appel de procédure distante « JSONRPC » qui ne demandait aucune information d’identification. Ainsi, les hackers pouvaient récupérer facilement les mots de passe et contrôler les portefeuilles Electrum des utilisateurs.
Bien qu’elle n’ait été signalée que récemment par jsmad, cette vulnérabilité qui nous rappelle celle de Parity existerait depuis plus de deux ans selon certains rapports, et les comptes des utilisateurs auraient donc été exposés depuis tout ce temps. Le bug a aussi été commenté par l’administrateur de Bitcointalk, qui a expliqué :
« Si vous aviez un mot de passe de portefeuille décent, alors il semble qu’un attaquant pourrait “seulement” obtenir des infos sur vos adresses et transactions de votre portefeuille et changer vos paramètres Electrum, ce qui, à mes yeux, aura une forte chance d’être exploitable dans le futur. Donc, si vous avez défini un mot de passe pour votre portefeuille, vous pouvez réduire votre crainte de quelques crans, mais vous devriez quand même prendre cela très au sérieux. »
La mise à jour 3.0.5 comme solution
De son côté, Electrum s’est empressé de régler le problème avant qu’un de ses clients ne se fasse pirater. Les développeurs ont effectué une première mise à jour qui n’a finalement pas résolu le problème. Puis est venu un deuxième correctif, publié par l’équipe d’Electrum dimanche dernier dans la soirée : une mise à jour 3.0.5 qui semble avoir (enfin) mis fin à cette vulnérabilité.
On ignore si cette faille a déjà été exploité et s’il y a eu des victimes. Quoi qu’il en soit, cet incident qui a touché Electrum ne fait que confirmer que les logiciels et applications cryptos ne sont pas toujours 100% fiables et sans faille, comme nous l’a déjà expliqué la société suisse de sécurité informatique Hi-Tech Bridge.
Abonnez-vous sur YouTube : Journalducoin
Ajoutez-nous sur Twitter : @lejournalducoin
Upvotez-nous sur Steemit : @Journalducoin
Suivez-nous sur Facebook : @lejournalducoin
Sources : News.bitcoin ; Cryptovest ; Themerkle
Image : REDPIXEL.PL/Shutterstock.com
Pour soutenir le JDC, utilisez nos liens partenaires : Binance (un exchange décentralisé), Coinbase (10$ offerts), Changelly (pas d’inscription ni de vérification d’identité), Ledger Wallet (coffre fort crypto).
