Super-White Hat à la rescousse – Le hacker de hardware Joe Grand a récemment réussi à pirater un portefeuille Trezor sur lequel était « perdu » l’équivalent de 2 millions de dollars en cryptomonnaie. Après plusieurs mois de tests, le pirate au chapeau blanc est parvenu à contourner la sécurité du portefeuille et a ainsi pu rendre le butin à ses propriétaires.
Un happy ending pour les cryptomonnaies égarées
L’histoire commence en 2018 quand Dan Reich et un de ses amis décident d’acheter pour 50 000$ de la cryptomonnaie $THETA.
À l’époque, celle-ci est encore très jeune et le token s’échange pour à peine 0.2 $. Leur investissement est rapidement stocké sur un hardware wallet Trezor, pour ensuite passer un certain temps aux oubliettes. Les mois passent, $THETA prend de la valeur… et le code PIN du portefeuille est perdu.
Les 50 000$ initialement investis valent maintenant 2 millions de dollars. Les deux amis ont droit à 16 tentatives pour retrouver leur code PIN. Si toutes les tentatives échouent, le contenu du wallet sera effacé et perdu pour de bon. La 12ᵉ tentative se solde par un nouvel échec : il faut trouver une autre solution pour éviter la catastrophe. Et si cette solution était Joe Grand ? Le hacker de hardware – plus connu sous le pseudonyme de Kingpin – est appelé à l’aide. Il accepte la proposition de Dan et son ami et se lance alors le défi de craquer la sécurité d’un des hardware wallets les plus fiables du moment.
>> Jouez la sécurité, inscrivez-vous sur la référence des exchanges crypto FTX (lien affilié) <<
Un Trezor bien cadenassé
Même pour un expert, briser les sécurités et accéder au code PIN d’un hardware wallet n’est pas une mince affaire. Alors que les jours et les échecs s’enchaînent, Kingpin trouve enfin la solution : l’attaque par faute.
« En cryptanalyse, les attaques par faute sont une famille de techniques qui consistent à produire volontairement des erreurs dans le crypto-système. Ces attaques peuvent porter sur des composants matériels ou logiciels. Elles ont pour but de provoquer un comportement inhabituel des opérations cryptographiques dans le but d’en extraire des informations secrètes (comme une clé de chiffrement). »
Définition Wikipedia d’une Attaque par faute
Une fois l’attaque lancée, Joe Grand aura patienté plus de 3 heures avant que la puce de silicium n’émette les premières erreurs nécessaires à l’accès au code PIN.
« Nous provoquons essentiellement un mauvais comportement sur la puce de silicium à l’intérieur de l’appareil afin de vaincre la sécurité. Et ce qui s’est passé, c’est que j’étais assis ici à regarder l’écran de l’ordinateur et j’ai vu que j’étais capable de vaincre la sécurité, les informations privées, la graine de récupération (« seed »)et le code PIN que j’allais voir apparaître sur l’écran. »
Joe Grand
Finalement, les deux amis ont pu récupérer l’accès à leurs cryptomonnaies, d’une valeur actuelle de 2 millions de dollars. Mais le coup de maître de Joe Grand a également suscité certaines interrogations quant au niveau de sécurité de ces portefeuilles. Bien que Trezor ait annoncé avoir corrigé les failles exploitées par Kingpin, beaucoup s’inquiètent que leur hardware wallet ne soit, en fin de compte, peut-être pas si impénétrable que ça.
Peur de succomber au FOMO ? Commencez par vous assurer d’évoluer dans un environnement sécurisant, et qui vous permettra d’organiser une stratégie d’investissement solide : Inscrivez-vous sans attendre sur la plateforme d’exchange crypto de référence FTX et bénéficiez d’une réduction à vie sur vos frais de trading (lien affilié, voir conditions sur site officiel).
L’article Il réalise le hack impossible et extrait 2 millions de dollars d’un wallet Trezor est apparu en premier sur Journal du Coin.
