Cyber-insécurité : Bitcoin et les cryptos, le nerd de la guerre
Les données c’est cool, Bitcoin et les cryptos c’est mieux – La première édition de notre mini saga exposait les failles massives du « web2 », un sujet critique trop peu abordé publiquement. Il y a pourtant urgence à le traiter du mieux possible afin d’essayer d’éviter de nouvelles brèches. La guerre sur le net est mondiale et ininterrompue. Internet renferme des trésors d’informations pour qui sait les extraire et les exploiter. Certains GAFAM ont même un modèle économique qui repose en grande partie sur les données de leurs clients. Mais impossible pour nous de leur jeter la pierre, étant donné que nous avons lu entièrement et approuvé les conditions générales d’utilisation de ces plateformes.
Dans ce deuxième épisode consacré à la cyber insécurité, nous allons nous intéresser au secteur crypto. Le « web3 » hérite presque « logiquement » de certaines faiblesses de son ancêtre, ce qui le fragilise énormément. L’écosystème crypto vise entre autres à disrupter les services financiers traditionnels et attirer de plus en plus de liquidités vers ses protocoles. Ce qui lui vaut une cible dans le dos.
Le secteur est encore jeune et immature, malgré une responsabilité financière déjà lourde. Les concepts et outils (même les wallets) crypto sont mal compris et encore trop complexes pour une partie des investisseurs, qui deviennent de fait des cibles potentielles. Même si l’éducation autour de ces sujets progresse à vue d’œil, les arnaques persistent et les pirates redoublent d’ingéniosité. Faiblesse du code informatique, erreurs humaines et génies du mal : tour d’horizon des dangers du web3.
Cryptos, DeFi, NFT : tout y passe
Balayons d’emblée le fameux « on est là pour la tech’ ». L’intérêt premier de chaque nouvel entrant est financier. C’est aussi celui des requins qui rôdent autour de la galaxie crypto naissante. Qu’ils agissent en petits groupes ou en réelles unités d’élite, qu’ils soient soutenus par des mécènes du crime ou non, ces acteurs malhonnêtes ont compris que le filon crypto pouvait rapporter gros.
L’été 2022 a été particulièrement chaud niveau hacks et millions de dollars dérobés. Du bridge Nomad (190 millions $) au siphonnage de 10 400 wallets Solana en passant par le détournement de 500 000 $ de NFT sur Premint, la période estivale n’est pas synonyme de vacances pour les pirates. Ils semblent de plus en plus déterminés et organisés.
Il faut dire que le gâteau a de quoi faire saliver et qu’il ne semble pas toujours protégé de façon adéquate. Le site de référence DeFi Llama comptabilise à l’heure actuelle, un peu plus 60 milliards de dollars verrouillés dans divers protocoles avec incitations (incentives) économiques. Un total qui était plus de trois fois supérieur (192,8 milliards $) au sommet du dernier cycle haussier fin 2021.
Les cibles privilégiées des hackers sont les protocoles DeFi, les NFT et les bridges, que Vitalik Buterin a lui-même identifié comme un maillon faible du réseau à ce jour, un potentiel vecteur d’attaque. Quoique plus si potentiel que ça : Solana et ses utilisateurs se en effet sont faits de belles frayeurs, à plusieurs reprises.
Le pont Wormhole entre Ethereum et Solana a ainsi vu 120 000 ETH évaporés (326 millions $ à l’époque) de son smart contract en février dernier. Ce trou béant dans les caisses aurait été lourd de conséquences pour la DeFi et le NFT sur Solana sans l’intervention de Jump Crypto, la société qui développe Wormhole. L’entreprise a mis au pot sans sourciller car elle « croit au futur multichain et c’est une infrastructure essentielle […], c’est pourquoi nous avons réinjecté 120 000 ETH pour dédommager la communauté » d’après des précisions obtenues par Blockworks.
De son côté Bitcoin n’est pas visé par ce type de hacks. Bien qu’on puisse le lui reprocher, le fait que Bitcoin serve presque exclusivement de valeur refuge (or numérique) ou de monnaie d’échange, lui confère sa résilience. L’ensemble du marché des Dapps (applications décentralisées) est porté par Ethereum et les altcoins.
Le BTC fait malgré tout l’objet de beaucoup d’arnaques, qui ciblent majoritairement des débutants et des personnes crédules. Personne ne doublera jamais les bitcoins que vous lui aurez envoyés, encore moins un inconnu anonyme.
En revanche, les pirates convertissent majoritairement leur butin en BTC après leurs braquages.
L’infrastructure sur le banc des accusés – La voie royale pour les hackers
Comme le « web2 », le « web3 » est en partie articulé sur du code open source. Bien que cela serve une philosophie issue de la culture internet, cela sert également des individus malveillants. Comme nous l’avons évoqué lors du premier épisode, des milliers de bibliothèques de code utilisées elles-mêmes par des milliers d’entreprises, sont infestées de virus.
Les protocoles cryptos sont également exposés à cette menace, que ce soit directement ou indirectement. Les smart contracts sont la pierre angulaire de la nouvelle économie d’internet. Ils rendent l’argent programmable et permettent de nouveaux usages en ligne, plus ou moins décentralisés. Pour le meilleur et parfois pour le pire.
Régulièrement, des esprits malins décèlent des faiblesses dans une partie de code d’un smart contract et en tirent profit. C’est le cas récent de Reaper Farm, un service de DeFi basé sur la blockchain Fantom. D’où l’importance d’un audit fiable et sérieux par des organes indépendants. Il faut également avoir des réflexes basiques d’hygiène numérique.
Bien qu’honnêtes, certains développeurs et responsables de projets ne sont tout simplement pas compétents ou au fait des dangers. Au point d’héberger des clés privées d’un service de wallet crypto sur un fichier partagé, hébergé sur des serveurs centralisés… On croit rêver. Là ce n’est clairement pas un problème de développement ou de code informatique, c’est une erreur purement humaine.
L’internet collaboratif partage aussi ses mauvais côtés
Côté informatique, le code d’un protocole se doit d’être irréprochable, mais quand bien même sa partie « crypto » le serait… il peut injecter (sans le savoir) du code open source vérolé. Comme le signale l’expert en cyber sécurité Anis Haboubi.
Et c’est là que le bât blesse : la contagion paraît aussi massive que discrète, et touche le « web2 » aussi bien que le « web3 ».
Ce tweet datant d’avril 2021 alertait sur la corruption de plus de 9 000 projets open source via les services de Code Coverage. Code Coverage est un outil d’analyse permettant de scanner du code informatique et d’identifier les lignes de code exécutées pendant un test.
Cette solution offre un gain de temps considérable aux développeurs. Tellement pratique même, que parmi ses clients nous trouvons des produits :
- Alibaba
- Microsoft
- Mozilla Mobile
- Zalando
- Spotify
- Brave
- Ethereum
- Ziliqa
Cette liste (non exhaustive) montre à quel point toutes les entreprises sont visées, même les membres de GAFAM. Au vu des chiffres d’affaires annuels de certaines de ces entreprises on pourrait imaginer une sécurité irréprochable, mais ce n’est pas le cas. Imaginons alors la menace pour des startups cryptos aux reins moins solides. D’autant plus que bon nombre de projets ont recours à des solutions de Code Coverage, dont les failles ne sont plus à démontrer…
Arnaques et piratages crypto : des techniques de plus en plus avancées
La persistance des attaques et leur degré de sophistication doivent nous alerter à plusieurs niveaux :
- La détermination des pirates à nuire à ces entreprises et leurs clients (voire plus)
- Le soutien technologique et financier (voire plus) dont les pirates bénéficient
Régulièrement, les experts en sécurité informatique décèlent de nouveaux ponts, de nouveaux moyens de s’introduire dans des systèmes informatiques. Les attaques dites de « supply chain » sont monnaie courante. Il faut dire que le filon est trop juteux et que l’interconnexion de service et produits via des bibliothèques de code vérolées offre une surface d’attaque sans précédents aux pirates.
Les attaques que nous relatons ici sont très bien ficelées et certains éléments pointent clairement vers des programmes de cyber attaques d’envergure. Elles s’en prennent également à des cibles d’envergure, des fonds d’investissements, personnalités emblématiques ou des comptes officiels sont pris pour cible. Dans la capture d’écran ci-dessous, les pirates tentaient de se faire passer pour Sisyphus, membre respecté de la communauté.
Un peu plus tôt cet été, la très célèbre collection de NFT Bored Ape Yacht Club a vu son serveur Discord piraté (140 ETH détournés). Les hackers en ont profité pour poster des liens vers des sites de phishing, récupérant au passage des clés privées et informations sensibles des internautes ayant cliqué sur le lien.
Tous les moyens sont bons
Parmi les dernières tendances pour trouver un point d’entrée à un réseau à priori sécurisé, les annonces de recrutement. Google dévoilait cette technique l’année dernière déjà, après que plusieurs de ses chercheurs aient été visés, et même compromis.
La technique des hackers consiste à créer (ou usurper) des profils « fiables » et « crédibles ». Une fois le contrôle pris sur un tel compte, les pirates contactent des personnes occupant des postes cruciaux dans l’organigramme d’une entreprise, notamment dans les départements sécurité informatique, et leur proposent de faux entretiens en vue d’un faux recrutement. Ou encore de réaliser une mise à jour et pour ce faire il faut télécharger une pièce jointe ou un logiciel malveillant. Ce stratagème a été utilisé à maintes reprises contre des protocoles cryptos et leurs réseau.
En définitive, pas de job alléchant à la clé, mais un siphonnage voire un accès total aux données présentes sur la machine du candidat. La technique est majoritairement utilisée sur Twitter et Linkedin.
Encore une fois, les attaques semblent calibrées et ciblent des personnalités bien précises, qui possèdent des données sensibles. Cela fait partie des stigmates qui laissent à penser que ce ne sont pas des « hackeurs du dimanche » qui s’y emploient. En reliant entre elles les attaques d’envergure des dernières années, les chercheurs en sécurité informatique semblent comprendre la logique derrière celle-ci, et tout ce que cela implique. Une logique pas seulement financière, mais politique.
Le ministre italien des affaires étrangères déclarait il y a quelques jours que les attaques visant des compagnies d’Europe occidentale s’étaient démultipliées depuis l’invasion de l’Ukraine (Bloomberg).
Le terme de cyber guerre n’est clairement pas galvaudé et s’il l’était, il le sera de moins en moins. L’objectif de ces offensives prend de plus en plus sens depuis quelques années. Un schéma plus global se dessine à mesure que les chercheurs mettent à jour des « backdoors » et autres « zero-day exploits ». Or pour une guerre, il faut une armée et une armée ne part pas au front avec des cure-dents. Qui arme les pirates crypto ?
Cyber-insécurité et hacks crypto : à qui profite le crime ? Troisième et dernier volet de cette mini-série, à paraître la semaine prochaine sur le Journal du Coin.
Ne ratez pas l’évènement de la rentrée grâce au JDC ! Inscrivez-vous sur Binance et bénéficiez d’une entrée à -50% pour la Binance Blockchain Week avec le code Paris50JournalDuCoin (lien commercial).