![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2019\/12\/17161533\/crypto-hacks-featured.jpg\")
<\/p>\nLes crypto-monnaies ont fait leur apparition il y a un peu plus d\u2019une dizaine d\u2019ann\u00e9es maintenant. Durant cette p\u00e9riode, nous avons constat\u00e9 plus d\u2019une centaine de grands piratages d\u2019\u00e9change de crypto-monnaies et d\u2019autres services.<\/p>\n
Tr\u00e8s souvent, les d\u00e9tails concernant le piratage restent flous. Il est facile de d\u00e9terminer qui a \u00e9t\u00e9 pirat\u00e9, quand cela s\u2019est produit et quelle somme a \u00e9t\u00e9 d\u00e9rob\u00e9e, mais le \u00ab\u00a0comment\u00a0\u00bb nous \u00e9chappe. Les journalistes s\u2019int\u00e9ressent de plus en plus \u00e0 ces sommes ; les organisations victimes de ces attaques se gardent de r\u00e9v\u00e9ler les d\u00e9tails de leur honte.<\/p>\n
Nous dissipons vos interrogations concernant le fonctionnement de ces piratages, non pas pour vous faire la morale, mais en esp\u00e9rant emp\u00eacher que cela se produise de nouveau.<\/p>\n
<\/p>\n
Les \u00e9changes de crypto-monnaie stockent les crypto-monnaies et l\u2019argent ordinaire des utilisateurs sur des comptes bancaires traditionnels. Pour les cybercriminels, l\u2019argent ordinaire repr\u00e9sente certains risques puisque, pour voler le butin en toute impunit\u00e9, il faudrait l\u2019encaisser rapidement avant que la banque n\u2019ait le temps de geler les comptes. C\u2019est pourquoi les cybercriminels optent g\u00e9n\u00e9ralement pour la crypto-monnaie.<\/p>\n
De l\u2019ext\u00e9rieur, les seuls et uniques faits connus lorsqu\u2019un piratage traditionnel d\u2019\u00e9change de crypto-monnaie survient sont (1) qu\u2019il s\u2019est produit et (2) que l\u2019argent du client a \u00e9t\u00e9 vol\u00e9. Que s\u2019est-il vraiment pass\u00e9\u00a0? De fa\u00e7on plus probable\u00a0: dans un premier temps, les cybercriminels se sont procur\u00e9s une liste des employ\u00e9s, ont \u00e9tudi\u00e9 leurs centres d\u2019int\u00e9r\u00eat (y compris sur les r\u00e9seaux sociaux) puis ont envoy\u00e9 des e-mails d\u2019hame\u00e7onnage cibl\u00e9s<\/a> contenant des charges malveillantes \u00e0 ceux qu\u2019ils estiment les plus na\u00effs. Ainsi, les cybercriminels parviennent \u00e0 rentrer dans le r\u00e9seau d\u2019\u00e9change.<\/p>\n Ensuite, ils en apprennent plus sur l\u2019entreprise\u00a0: \u00e0 quelle fr\u00e9quence le comptable communique-t-il avec le directeur, ce qu\u2019ils s\u2019envoient, la structure du r\u00e9seau interne, o\u00f9 sont cach\u00e9s les portefeuilles de crypto-monnaie et comment ils sont prot\u00e9g\u00e9s. M\u00eame si cette \u00e9tape peut prendre du temps, elle peut \u00e9ventuellement conduire les cybercriminels \u00e0 l\u2019ordinateur d\u2019un employ\u00e9 ayant acc\u00e8s aux syst\u00e8mes importants.<\/p>\n Si le syst\u00e8me automatique d\u2019\u00e9change est configur\u00e9 pour envoyer de la crypto-monnaie, les cybercriminels poss\u00e9dant les droits pour op\u00e9rer peuvent alors s\u2019envoyer de l\u2019argent. Une r\u00e9cente attaque contre l\u2019\u00e9change Binance se serait d\u00e9roul\u00e9e de cette fa\u00e7on.<\/p>\n Incident\u00a0: \u00e9change Binance<\/a> pirat\u00e9<\/p>\n Date\u00a0: 7 mai 2019<\/p>\n Somme vol\u00e9e\u00a0: 40 000 000 dollars (7 000 BTC)<\/p>\n Si votre entreprise est une plateforme d\u2019\u00e9change de crypto-monnaie, vous devez vous assurer que le co\u00fbt d\u2019une attaque exc\u00e8de le gain potentiel multipli\u00e9 par la probabilit\u00e9 de succ\u00e8s. D\u2019o\u00f9 la n\u00e9cessit\u00e9 de :<\/p>\n Les distributeurs automatiques sont aussi utilis\u00e9s pour voler des bitcoins. Ils servent g\u00e9n\u00e9ralement \u00e0 retirer ou d\u00e9poser de l\u2019argent sur un compte bancaire r\u00e9el. Toutefois, un distributeur automatique de Bitcoin<\/a> propose plus d\u2019options, comme la possibilit\u00e9 d\u2019acheter et de vendre de la crypto-monnaie.<\/p>\n Pour mener \u00e0 bien une arnaque Bitcoin \u00e0 travers un distributeur automatique, l\u2019utilisateur pourrait utiliser les machines pour vendre des bitcoins, recevoir un paiement en esp\u00e8ce puis annuler la transaction. Cela semble trop \u00e9vident pour fonctionner et pourtant, en un rien de temps, lorsque les 45 distributeurs automatiques de crypto-monnaie sont apparus au Canada, les cybercriminels ont d\u00e9rob\u00e9 200 000 dollars.<\/p>\n Comment est-ce possible ? Comme vous le savez, l\u2019information de la blockchain est stock\u00e9e dans des blocs, d\u2019o\u00f9 son nom.\u00a0 Une transaction telle que \u00ab\u00a0Envoyer 1 BTC \u00e0 John\u00a0\u00bb n\u2019est pas imm\u00e9diatement inscrite dans le bloc ; premi\u00e8rement, la transaction est plac\u00e9e dans une file d\u2019attente puis un nouveau bloc est cr\u00e9\u00e9 approximativement toutes les 10 minutes. Toute transaction non confirm\u00e9e est retir\u00e9e de cette file par le cr\u00e9ateur du bloc. Il convient de signaler qu\u2019il n\u2019y a pas suffisamment d\u2019espace dans le bloc pour recevoir toutes les transactions. La priorit\u00e9 est donc donn\u00e9e aux transactions qui ont les frais plus \u00e9lev\u00e9s et que le cr\u00e9ateur du bloc conserve.<\/p>\n Il peut \u00eatre difficile d\u2019y croire, mais les d\u00e9veloppeurs \u00e0 l\u2019origine de ces distributeurs automatiques ne les ont pas configur\u00e9s pour qu\u2019ils attendent que la transaction soit inscrite dans la blockchain avant d\u2019autoriser le retrait. Le confort des utilisateurs prime sur la s\u00e9curit\u00e9.<\/p>\n Un autre petit d\u00e9tail\u00a0: initialement, Bitcoin ne permettait pas d\u2019annuler les transactions en file d\u2019attente, ce qui a souvent donn\u00e9 lieu \u00e0 des transactions accompagn\u00e9es de petits frais puisqu\u2019elles \u00e9taient en suspens dans le syst\u00e8me pendant plusieurs jours avant d\u2019\u00eatre retir\u00e9es. Pour r\u00e9soudre ce probl\u00e8me, Bitcoin a ajout\u00e9 le m\u00e9canisme replace-by-fee<\/a>, permettant ainsi \u00e0 une transaction en attente d\u2019\u00eatre remplac\u00e9e par une autre, habituellement pour augmenter la commission et faire passer le transfert de force. Cependant, ce m\u00e9canisme permet \u00e9galement de modifier le destinataire et donc de retourner les bitcoins \u00e0 l\u2019exp\u00e9diteur.<\/p>\n Dire qu\u2019il s\u2019agit d\u2019une vuln\u00e9rabilit\u00e9 serait un euph\u00e9misme. C\u2019\u00e9tait une v\u00e9ritable imprudence. Voici les cons\u00e9quences\u00a0:<\/p>\n Incident\u00a0: distributeur automatique Bitcoin<\/a> pirat\u00e9<\/p>\n Date\u00a0: septembre 2018<\/p>\n Somme vol\u00e9e\u00a0: 200 000 dollars<\/p>\n \u00c0 la suite de ce vol d\u2019argent, l\u2019entreprise \u00e0 l\u2019origine de ces distributeurs automatiques a modifi\u00e9 ses machines pour mettre en place un d\u00e9lai d\u2019attente. D\u00e9sormais, les utilisateurs doivent retourner au distributeur pour recevoir l\u2019argent en esp\u00e8ce apr\u00e8s que les bitcoins aient \u00e9t\u00e9 d\u00e9livr\u00e9s. C\u2019est beaucoup moins pratique, certes, mais c\u2019est la seule fa\u00e7on de le faire correctement en prenant en compte le fonctionnement de la blockchain.<\/p>\n Avec du recul, il semble \u00e9vident que pour emp\u00eacher une perte d\u2019argent aussi absurde, les d\u00e9veloppeurs auraient d\u00fb examiner la s\u00e9curit\u00e9 des applications. Ceci implique de pouvoir compter sur des experts externes qui examinent la structure du service, ont acc\u00e8s au code et cherchent des vuln\u00e9rabilit\u00e9s.<\/p>\n Vous avez probablement entendu parler de l\u2019axiome immuable selon lequel \u00ab\u00a0les donn\u00e9es de la blockchain ne peuvent pas \u00eatre modifi\u00e9es.\u00a0\u00bb N\u00e9anmoins, ce n\u2019est pas forc\u00e9ment vrai tout le temps. Pour mieux comprendre comment la blockchain et le minage fonctionnent, consultez \u00ab\u00a0Qu\u2019est-ce que la technologie de la blockchain et son fonctionnement<\/a>\u00a0\u00bb et \u00ab\u00a0Explication : minage des Bitcoins<\/a>\u00ab\u00a0.<\/p>\n Deux principes garantissent que la blockchain est la m\u00eame pour tous les utilisateurs. Premi\u00e8rement, tous les participants doivent se mettre d\u2019accord sur qui sera le cr\u00e9ateur du prochain bloc. Le taux de probabilit\u00e9 d\u2019\u00eatre l\u2019heureux \u00e9lu d\u00e9pend des ressources investies. Plus le pouvoir de minage est grand, plus il y a de chances d\u2019\u00eatre \u00e9lu.<\/p>\n Le second principe est \u00ab\u00a0la r\u00e8gle de la cha\u00eene la plus longue\u00a0\u00bb. Celle-ci dit qu\u2019en cas de conflit, la version valide de la blockchain est la plus longue. Si une personne cr\u00e9e sa propre version de la blockchain et tente de la diffuser, tout le monde la rejettera car elle aurait d\u00e9pens\u00e9 beaucoup moins de ressources et sera donc plus courte.<\/p>\n La situation bascule si le cr\u00e9ateur utilise plus de 50 % de tout le pouvoir de minage. Disons qu\u2019un utilisateur malveillant peut cr\u00e9er 10 blocs en un certain temps alors que d\u2019autres mineurs n\u2019en cr\u00e9ent que neuf. \u00c0 ce moment-l\u00e0, la nouvelle version de la blockchain devient la plus longue. Par cons\u00e9quent, tout le monde l\u2019accepte et l\u2019historique financier est effectivement modifi\u00e9. Un utilisateur qui d\u00e9pense des bitcoins dans l\u2019ancienne version de la blockchain publique r\u00e9cup\u00e8rerait ces bitcoins sur son compte dans la nouvelle blockchain.<\/p>\n C\u2019est exactement ce qui s\u2019est produit plus t\u00f4t en 2019 sur l\u2019\u00e9change de crypto-monnaie Gate.io. Un cybercriminel envoie de la crypto-monnaie pour l\u2019\u00e9changer et l\u2019inscrit dans la blockchain publique. Pendant ce temps, il commence \u00e0 cr\u00e9er sa propre blockchain. Une fois l\u2019argent de l\u2019\u00e9change re\u00e7u et la somme cr\u00e9dit\u00e9e sur le compte du cybercriminel, ce dernier pourra diffuser sa blockchain personnelle, o\u00f9 la transaction en action n\u2019appara\u00eet pas ce qui lui permet d\u2019empocher \u00e0 nouveau la crypto-monnaie. Ensuite, il demande que son compte soit retir\u00e9 de l\u2019\u00e9change. Cons\u00e9quence\u00a0: l\u2019\u00e9change perd l\u2019argent.<\/p>\n V\u00e9rifions maintenant pourquoi cela ne se produit pas tous les jours et combien de puissance informatique le cybercriminel a d\u00e9pens\u00e9.<\/p>\n Nous utiliserons Bitcoin comme exemple. Les mineurs cr\u00e9ent six blocs par heure. Pour chaque bloc, ils touchent une r\u00e9compense de 12,5 BTC (le 6 octobre 2019, 75 BTC valaient 600 000 dollars). C\u2019est \u00e0 peu pr\u00e8s ce que co\u00fbte la location du pouvoir de minage de Bitcoin pour une heure. Le site Crypto51<\/a> a publi\u00e9 ces calculs\u00a0:<\/p>\n Co\u00fbt estim\u00e9 d\u2019une heure d\u2019attaque 51 % sur les crypto-monnaies principales<\/p><\/div>\n \u00a0<\/p>\n La derni\u00e8re colonne indique la capacit\u00e9 actuellement disponible \u00e0 la location. Comme vous pouvez le voir, prendre possession de la blockchain Ethereum Classic, en utilisant la technique du cybercriminel mentionn\u00e9 ci-dessus, co\u00fbterait 10 000 dollars de l\u2019heure. Il lui a fallu quatre heures pour en prendre 200 000.<\/p>\n Nous vous faisons remarquer que ce n\u2019est pas la premi\u00e8re fois que ce genre d\u2019attaque se produit. De nombreuses autres crypto-monnaies ont subi des attaques 51 % couronn\u00e9es de succ\u00e8s.<\/p>\n Incident\u00a0: ETC victime d\u2019une attaque 51 % sur la plateforme Gate.io<\/a><\/p>\n Date\u00a0: 7 janvier 2019<\/p>\n Somme vol\u00e9e\u00a0: 200 000 dollars (40 000 ETC)<\/p>\n En g\u00e9n\u00e9ral, la capacit\u00e9 \u00e0 r\u00e9inscrire une blockchain et \u00e0 tirer profit d\u2019une attaque 51 % est une caract\u00e9ristique inn\u00e9e de la technologie. Pour qu\u2019une attaque soit la plus ch\u00e8re possible, les \u00e9changes de crypto-monnaie tentent d\u2019attendre le plus longtemps possible avant de mettre \u00e0 jour le compte de l\u2019utilisateur apr\u00e8s une transaction. Plus il y a de blocs cr\u00e9\u00e9s au moment de la r\u00e9ception de la transaction dans la blockchain, moins il est probable que la blockchain soit r\u00e9organis\u00e9e et retourn\u00e9e. Toutefois, le d\u00e9lai d\u2019attente constitue le principal point n\u00e9gatif des transferts, pouvant tarder des heures.<\/p>\n Dans tous les cas, nous devrons tr\u00e8s probablement faire face de nouveau \u00e0 ce type d\u2019attaque.<\/p>\n Pour d\u00e9penser de la crypto-monnaie, vous avez besoin de la cl\u00e9 secr\u00e8te. La cl\u00e9 correspond \u00e0 ce qui est sauvegard\u00e9 dans le portefeuille de crypto-monnaie\u00a0; le solde de l\u2019utilisateur est conserv\u00e9 dans la blockchain.<\/p>\n Si vous changez de portefeuille de crypto-monnaie, vous devez copier la cl\u00e9 de l\u2019ancien dans le nouveau. Pour que ce soit plus pratique, la cl\u00e9 est une phrase mn\u00e9monique de 12 mots simples. Par exemple, sorci\u00e8re effondrement pratique alimenter honte ouvrir d\u00e9sespoir ruisseau route encore glace moins<\/em>.<\/p>\n Un jour, les d\u00e9veloppeurs d\u2019un portefeuille de crypto-monnaie ont accidentellement envoy\u00e9 cette phrase en ligne pour v\u00e9rifier son orthographe. Cette erreur a \u00e9t\u00e9 d\u00e9couverte par un investisseur de crypto-monnaie apr\u00e8s avoir subi un vol de 70 000 dollars. Nous ne savons pas s\u2019il s\u2019agissait du motif du vol, mais l\u2019histoire est instructive.<\/p>\n Cela s\u2019est produit parce que, de nos jours, les applications ne sont g\u00e9n\u00e9ralement pas \u00e9crites \u00e0 partir de rien mais plut\u00f4t assembl\u00e9es \u00e0 partir de composants, y compris de d\u00e9veloppeurs tiers. C\u2019est ainsi qu\u2019ont proc\u00e9d\u00e9 les d\u00e9veloppeurs du portefeuille de crypto-monnaie de Coinomi. Pour afficher le formulaire de saisie de la phrase mn\u00e9monique, ils ont utilis\u00e9 les composants jxBrowser. \u00c0 l\u2019insu des d\u00e9veloppeurs, ce composant v\u00e9rifie par d\u00e9faut l\u2019orthographe de tout le texte saisi dans le formulaire. Pour ne pas \u00eatre ralenti par les dictionnaires de toutes les langues parl\u00e9es dans le monde, le service utilise googleapis.com, un programme bas\u00e9 dans le Cloud qui permet de v\u00e9rifier l\u2019orthographe.<\/p>\n Pour les formulaires de saisie ordinaires, cela peut s\u2019av\u00e9rer pratique, mais pour les champs de saisie qui acceptent les mots de passe et les phrases super secr\u00e8tes, c\u2019est terriblement risqu\u00e9.<\/p>\n Pour leur d\u00e9fense, les d\u00e9veloppeurs ont d\u00e9clar\u00e9<\/a> que la phrase mn\u00e9monique n\u2019avait \u00e9t\u00e9 envoy\u00e9e qu\u2019a Google et \u00e9tait chiffr\u00e9e. Google a ensuite signal\u00e9 une erreur. N\u00e9anmoins, la victime est s\u00fbre que cette vuln\u00e9rabilit\u00e9 \u00e9tait bien la cause du vol.<\/p>\nAttaques cibl\u00e9es : comment se prot\u00e9ger<\/h3>\n
\n
Double d\u00e9pense : voler un distributeur automatique Bitcoin avec un t\u00e9l\u00e9phone<\/h2>\n
Double d\u00e9pense : comment se prot\u00e9ger<\/h3>\n
L\u2019attaque 51 % : contr\u00f4le de la blockchain<\/h2>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2019\/12\/17160834\/51-screen-crypto-hacks.png\")
Attaques 51 % : comment se prot\u00e9ger<\/h3>\n
Vol de cl\u00e9s secr\u00e8tes : correcteur d\u2019orthographe pour la phrase mn\u00e9monique<\/h2>\n