{"id":21291,"date":"2023-12-08T10:42:24","date_gmt":"2023-12-08T08:42:24","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21291"},"modified":"2023-12-08T10:42:24","modified_gmt":"2023-12-08T08:42:24","slug":"vulnerability-in-hot-cryptowallets-from-2011-2015","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-in-hot-cryptowallets-from-2011-2015\/21291\/","title":{"rendered":"Randstorm : les portefeuilles de cryptomonnaies vuln\u00e9rables des ann\u00e9es 2010"},"content":{"rendered":"

Les chercheurs ont d\u00e9couvert plusieurs vuln\u00e9rabilit\u00e9s dans la biblioth\u00e8que BitcoinJS qui pourraient exposer les portefeuilles Bitcoin cr\u00e9\u00e9s en ligne il y a une dizaine d\u2019ann\u00e9es au piratage. Le probl\u00e8me fondamental est que les cl\u00e9s priv\u00e9es de ces portefeuilles de cryptomonnaies ont \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9es avec une pr\u00e9visibilit\u00e9 bien plus grande que ce \u00e0 quoi les d\u00e9veloppeurs de la biblioth\u00e8que s\u2019attendaient.<\/p>\n

Vuln\u00e9rabilit\u00e9s Randstorm et cons\u00e9quences<\/h2>\n

Reprenons depuis le d\u00e9but. Les chercheurs d\u2019Unciphered, une soci\u00e9t\u00e9 sp\u00e9cialis\u00e9e dans la r\u00e9cup\u00e9ration des acc\u00e8s aux portefeuilles de cryptomonnaies ont d\u00e9couvert et d\u00e9crit<\/a> un certain nombre de vuln\u00e9rabilit\u00e9s dans la biblioth\u00e8que JavaScript BitcoinJS utilis\u00e9e par de nombreuses plateformes de cryptomonnaies en ligne. Parmi ces services, il en existe d\u2019autres tr\u00e8s populaires, en particulier Blockchain.info, maintenant connu sous le nom de Blockchain.com. Les chercheurs ont baptis\u00e9 cet ensemble de vuln\u00e9rabilit\u00e9s Randstorm.<\/p>\n

Bien que les vuln\u00e9rabilit\u00e9s dans la biblioth\u00e8que BitcoinJS aient \u00e9t\u00e9 corrig\u00e9es en 2014, le probl\u00e8me s\u2019\u00e9tend aux r\u00e9sultats de l\u2019utilisation de cette biblioth\u00e8que\u00a0: les portefeuilles de cryptomonnaies cr\u00e9\u00e9s avec BitcoinJS au d\u00e9but des ann\u00e9es\u00a02010 peuvent ne pas \u00eatre s\u00e9curis\u00e9s, dans le sens o\u00f9 il est beaucoup plus facile de trouver leurs cl\u00e9s priv\u00e9es que ne le suppose la cryptographie Bitcoin sous-jacente.<\/p>\n

Les chercheurs estiment que plusieurs millions de portefeuilles, pour un total d\u2019environ 1,4\u00a0million de BTC, sont potentiellement \u00e0 risque en raison de Randstorm. Parmi les portefeuilles potentiellement vuln\u00e9rables<\/em>, 3 \u00e0 5\u00a0% d\u2019entre eux sont r\u00e9ellement vuln\u00e9rables<\/em> \u00e0 de v\u00e9ritables attaques selon les chercheurs. Sur la base du taux de change approximatif du bitcoin d\u2019environ 36\u00a0500\u00a0dollars au moment de la publication, cela donne un butin total de 1,5 \u00e0 2,5\u00a0milliards de dollars pour les pirates informatiques qui pourraient r\u00e9ussir \u00e0 exploiter les vuln\u00e9rabilit\u00e9s Randstorm.<\/p>\n

Les chercheurs affirment que ces vuln\u00e9rabilit\u00e9s peuvent effectivement \u00eatre utilis\u00e9es pour des attaques dans le monde r\u00e9el contre des portefeuilles de cryptomonnaies. De plus, ils ont r\u00e9ussi \u00e0 exploiter ces vuln\u00e9rabilit\u00e9s pour r\u00e9tablir l\u2019acc\u00e8s \u00e0 plusieurs portefeuilles de cryptomonnaies cr\u00e9\u00e9s sur Blockchain.info avant mars\u00a02012. Pour des raisons \u00e9thiques, l\u2019entreprise n\u2019a pas publi\u00e9 la d\u00e9monstration de faisabilit\u00e9 de l\u2019attaque, car cela aurait directement expos\u00e9 des dizaines de milliers de portefeuilles de cryptomonnaies \u00e0 un risque de vol.<\/p>\n

Les chercheurs ont d\u00e9j\u00e0 contact\u00e9 les services de cryptomonnaies en ligne connus pour avoir utilis\u00e9 des versions vuln\u00e9rables de la biblioth\u00e8que BitcoinJS. \u00c0 leur tour, ces services ont inform\u00e9 leurs clients qui pourraient potentiellement \u00eatre affect\u00e9s par les vuln\u00e9rabilit\u00e9s Randstorm.<\/p>\n

La nature des vuln\u00e9rabilit\u00e9s Randstorm<\/h2>\n

Examinons plus en d\u00e9tail le fonctionnement de ces vuln\u00e9rabilit\u00e9s. La cl\u00e9 priv\u00e9e est au c\u0153ur de la s\u00e9curit\u00e9 du portefeuille Bitcoin. Comme tout syst\u00e8me cryptographique moderne, Bitcoin repose sur le fait que cette cl\u00e9 est secr\u00e8te et ind\u00e9chiffrable. Encore une fois, comme dans tout syst\u00e8me cryptographique moderne, cela implique l\u2019utilisation de tr\u00e8s longs nombres al\u00e9atoires.<\/p>\n

Et pour la s\u00e9curit\u00e9 des donn\u00e9es prot\u00e9g\u00e9es par la cl\u00e9 priv\u00e9e, cette derni\u00e8re doit \u00eatre aussi al\u00e9atoire que possible. Si le nombre utilis\u00e9 comme cl\u00e9 est hautement pr\u00e9visible, il permet \u00e0 un pirate informatique, en possession des informations sur la proc\u00e9dure de g\u00e9n\u00e9ration de cl\u00e9s, de la pirater par force brute.<\/p>\n

N\u2019oubliez pas que la g\u00e9n\u00e9ration d\u2019un nombre vraiment<\/em> al\u00e9atoire n\u2019est pas une mince affaire<\/a>. Et les ordinateurs, de par leur nature, ne sont pas du tout adapt\u00e9s \u00e0 cette t\u00e2che, car ils sont trop pr\u00e9visibles. Par cons\u00e9quent, nous obtenons habituellement des nombres pseudo-al\u00e9atoires<\/em>, et pour augmenter l\u2019entropie<\/em> de la g\u00e9n\u00e9ration (en langage cryptographique, il s\u2019agit de la mesure d\u2019impr\u00e9visibilit\u00e9), nous nous appuyons sur des fonctions sp\u00e9ciales.<\/p>\n

Revenons maintenant \u00e0 la biblioth\u00e8que BitcoinJS. Pour obtenir des nombres pseudo-al\u00e9atoires \u00a0\u00bb\u00a0de haute qualit\u00e9\u00a0\u00ab\u00a0, cette biblioth\u00e8que utilise une autre biblioth\u00e8que JavaScript appel\u00e9e JSBN (JavaScript Big Number), plus pr\u00e9cis\u00e9ment sa fonction SecureRandom<\/em>. Comme son nom l\u2019indique, cette fonction a \u00e9t\u00e9 con\u00e7ue pour g\u00e9n\u00e9rer des nombres pseudo-al\u00e9atoires pouvant \u00eatre utilis\u00e9s en cryptographie. Pour augmenter leur entropie, SecureRandom<\/em> s\u2019appuie sur la fonction de navigateur window.crypto.random<\/em>.<\/p>\n

C\u2019est l\u00e0 que r\u00e9side le probl\u00e8me\u00a0: bien que la fonction window.crypto.random<\/em> ait exist\u00e9 dans la famille de navigateurs Netscape Navigator 4.x, ces navigateurs \u00e9taient d\u00e9j\u00e0 obsol\u00e8tes lorsque les services Internet ont commenc\u00e9 \u00e0 utiliser activement la biblioth\u00e8que BitcoinJS. Et dans les navigateurs populaires de l\u2019\u00e9poque \u2013 Internet Explorer, Google Chrome, Mozilla Firefox et Apple Safari \u2013 la fonction window.crypto.random<\/em> n\u2019\u00e9tait tout simplement pas mise en \u0153uvre.<\/p>\n

Malheureusement, les d\u00e9veloppeurs de la biblioth\u00e8que JSBN n\u2019ont pr\u00e9vu aucun type de v\u00e9rification ni message d\u2019erreur correspondant. Par cons\u00e9quent, la fonction SecureRandom<\/em> a pass\u00e9 sous silence l\u2019\u00e9tape d\u2019incr\u00e9mentation de l\u2019entropie, confiant dans les faits la t\u00e2che de cr\u00e9ation de cl\u00e9s priv\u00e9es au g\u00e9n\u00e9rateur de nombres pseudo-al\u00e9atoires standard, Math.random<\/em>.<\/p>\n

Ce n\u2019\u00e9tait pas une bonne id\u00e9e, car Math.random<\/em> n\u2019a pas \u00e9t\u00e9 con\u00e7u<\/a> pour des fins cryptographiques. Mais la situation est encore plus confuse du fait que la mise en \u0153uvre du g\u00e9n\u00e9rateur Math.random<\/em> dans les navigateurs populaires de 2011 \u00e0 2015, en particulier Google Chrome<\/a>, contenait des bugs qui produisaient des nombres al\u00e9atoires encore plus faibles que ce qui aurait d\u00fb \u00eatre le cas.<\/p>\n

\u00c0 son tour, la biblioth\u00e8que BitcoinJS a h\u00e9rit\u00e9 de JSBN tous les probl\u00e8mes susmentionn\u00e9s. Par cons\u00e9quent, les plateformes qui l\u2019ont utilis\u00e9 pour g\u00e9n\u00e9rer des cl\u00e9s priv\u00e9es pour les portefeuilles de cryptomonnaies ont obtenu de la fonction SecureRandom beaucoup moins de nombres al\u00e9atoires que ne le pensaient les d\u00e9veloppeurs de la biblioth\u00e8que. De plus, comme ces cl\u00e9s sont g\u00e9n\u00e9r\u00e9es avec une grande pr\u00e9visibilit\u00e9, il est beaucoup plus facile de les pirater par force brute, ce qui permet d\u2019acc\u00e9der \u00e0 des portefeuilles de cryptomonnaies vuln\u00e9rables.<\/p>\n

Comme mentionn\u00e9 ci-dessus, il ne s\u2019agit pas d\u2019un danger th\u00e9orique, mais bien pratique\u00a0: l\u2019\u00e9quipe d\u2019Unciphered a pu exploiter ces vuln\u00e9rabilit\u00e9s pour r\u00e9tablir l\u2019acc\u00e8s (autrement dit, pirater de mani\u00e8re \u00e9thique) plusieurs anciens portefeuilles de cryptomonnaies cr\u00e9\u00e9s sur Blockchain.info.<\/p>\n

Qui est expos\u00e9 au risque Randstorm<\/h2>\n

BitcoinJS a utilis\u00e9 la biblioth\u00e8que JSBN vuln\u00e9rable depuis son introduction en 2011 jusqu\u2019en 2014. Notez toutefois que certains projets de cryptomonnaies peuvent utiliser une version moins r\u00e9cente de la biblioth\u00e8que depuis un certain temps. Quant aux bugs qui affectaient Math.random dans les navigateurs courants, ils ont \u00e9t\u00e9 corrig\u00e9s depuis 2016 en modifiant les algorithmes de g\u00e9n\u00e9ration des nombres pseudo-al\u00e9atoires. Cela donne donc une p\u00e9riode approximative de 2011 \u00e0 2015 pour la cr\u00e9ation des portefeuilles de cryptomonnaies potentiellement vuln\u00e9rables.<\/p>\n

Les chercheurs soulignent que BitcoinJS \u00e9tait tr\u00e8s populaire au d\u00e9but des ann\u00e9es\u00a02010, il est donc difficile de dresser une liste compl\u00e8te des services qui auraient pu utiliser une version vuln\u00e9rable de cette biblioth\u00e8que. Leur rapport dresse la liste des plateformes qu\u2019ils ont pu identifier comme \u00e9tant \u00e0 risque\u00a0:<\/p>\n