Bitcoin : 100 000 satoshis à gagner pour l’utilisateur qui crackera cette seed phrase

Un crack du crackage – Les seed phrases, les listes de mots aléatoires générées lors de la création d’un portefeuille de cryptomonnaies, jouent un rôle clé pour accéder à vos actifs numériques. Cependant, il est primordial de les sécuriser convenablement pour garder ses cryptos en lieu sûr.

30 minutes pour cracker une seed phrase Bitcoin

Le 26 avril, l’internaute @w_s_bitcoin a lancé un défi à ses abonnés sur Twitter. Ainsi, il a partagé sur une seed phrase de 12 mots dans un ordre aléatoire, mettant au défi les internautes de trouver la bonne combinaison. À la clé, 100 000 satoshis, soit environ 30$ stockés sur l’adresse liée à la clé.

Tweet du défi lancé par @w_s_bitcoin.
Défi lancé par @w_s_bitcoin – Source : Twitter.

Le Brute Force est une des méthodes pour trouver la bonne combinaison. Celle-ci consiste à tester chaque combinaison, jusqu’à trouver la bonne. En théorie, les 12 mots proposés disposent de 479 millions de combinaisons différentes possibles.

Pourtant, en seulement 25 minutes, Andrew Fraser, a réussi à déchiffrer la seed phrase et à déverrouiller la récompense. Un temps record, qui remet en perspective l’importance de sécuriser convenablement sa seed phrase.

En pratique, Fraser a réussi cet exploit en utilisant BTCrecover, un outil disponible sur GitHub. Cet outil permet de retrouver des seed phrases avec des mnémoniques manquantes ou mélangées.

Le plus surprenant dans cette histoire reste le matériel utilisé par Fraser pour trouver la bonne combinaison. En effet, il a dévoilé à nos confrères de CoinTelegraph de ne disposer que d’une simple carte graphique gaming.

« Ma carte graphique de jeu a pu déterminer l’ordre correct de la seed phrase en environ 25 minutes. Un système plus performant y serait parvenu beaucoup plus rapidement. »

>> Vous préférez garder vos BTC à l’abri ? Choisissez un portefeuille Ledger (lien commercial) <<

La sécurité des seed phrases à 12 et 24 mots

Évidemment, les mnémoniques composées de 12 mots restent tout à fait sécurisées. Néanmoins, elles le sont à condition que les mots qui la composent restent secrets. Elles sont d’autant plus sécurisées si l’utilisateur a ajouté un mot de passe, utilisé dans le chemin de dérivation du portefeuille.

Évidemment, les seed phrases de 24 mots sont encore plus sécurisées. Dans son entretien avec CoinTelegraph, Fraser a déclaré que les ces adresses sont bien plus solide face aux attaques, même dans le cas où l’attaquant disposerait des 24 mots dans le désordre.

« Même si un attaquant connaissait les mots désordonnés de votre mnémonique à 24 mots, il n’aurait jamais la moindre chance de découvrir la seed correcte. »

Pour illustrer la différence de sécurité entre les deux types de seed phrases, Fraser a comparé les calculs d’entropie

D’une part, une mnémonique à 12 mots a environ 128 bits d’entropie. D’autre part, une mnémonique 24 mots en a 256 bits. 

Lorsqu’un attaquant connaît les mots désordonnés d’une seed phrase à 12 mots, il n’y a qu’environ un demi-milliard de combinaisons possibles, ce qui est relativement facile à tester avec une bonne carte graphique.

En revanche, une seed phrase à 24 mots présents environ 6,24^24 combinaisons possibles. Vous l’aurez compris, cela fait un paquet de combinaisons à tester. Pour y arriver dans un temps abordable, l’attaquant doit disposer d’une puissance de calcul astronomique.

Bien que les clés 12 mots restent sécurisées, l’usage de clés à 24 mots permet d’assurer un degré de sécurité bien supérieur.

L’importance d’un stockage sécurisé

Ainsi, Fraser insiste sur l‘importance de garder les seed phrases secrètes et d’utiliser un mot de passe pour le chemin de dérivation. De surcroît, il est largement déconseillé de stocker sa seed phrase dans un gestionnaire de mot de passe, sur une solution de stockage en ligne type Google Drive ou en clair sur son ordinateur.

En janvier dernier, le fournisseur de portefeuille Wasabi wallet avait lancé un défi similaire. Appelé HuntingSats, celui-ci visait à découvrir une seed phrase de 12 mots, avec à la clé plusieurs centaines de dollars de récompenses.

Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un  wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.