Un jeune Britannique de 15 ans, Saleem Rashid, est parvenu à pirater et à enfreindre la sécurité du portefeuille BitFi, présenté par John McAfee comme un dispositif « in piratable », l’une des méthodes considérées comme les plus sûres qui existent pour stocker des crypto-monnaies, le stockage dit « froid », qui utilise des dispositifs physiques non connectés à Internet.
Un jeune Britannique de 15 ans, Saleem Rashid, est parvenu à pirater et à enfreindre la sécurité du portefeuille BitFi, présenté par John McAfee comme un dispositif « non piratable », l’une des méthodes les plus sûres de stockage des crypto-monnaies, le « cold storage », qui utilise des dispositifs physiques non connectés à Internet.
Rashid a utilisé l’appareil pour jouer à Doom, un jeu vidéo de tir à la première personne. Le pirate est un chercheur en cybersécurité bien connu.
L’adolescent a publié sur son blog qu’il a réussi à pirater le Ledger Nano S, un modèle de porte-monnaie USB vendu à des millions d’exemplaires dans le monde.
Les dispositifs de stockage à froid permettent de stocker des crypto-monnaies telles que le Bitcoin, l’Ethereum ou le Litecoin de manière à ce qu’elles ne soient accessibles qu’avec une clé qui ne doit être connue que de leur propriétaire.
La panne toucherait également un autre modèle, le Nano Blue, pour lequel la mise à jour qui résoudrait le problème ne sera pas disponible « avant plusieurs semaines », comme l’a confirmé au média Quartz Ledger le responsable de la sécurité, Charles Guillemet.
Ledger, la société qui le fabrique, a déclaré que le problème est déjà réglé grâce à une mise à jour.
L’attaque programmée par Rashid vise les systèmes internes de l’appareil. L’un d’eux, qui est responsable du contrôle du petit écran de l’appareil et des fonctions USB, ne fait pas la distinction entre le micrologiciel d’origine (le code qui fait fonctionner l’appareil) et celui qui peut créer un tiers.
L’un des principaux problèmes découverts par l’adolescent est que l’attaquant doit avoir un accès physique à l’appareil avant qu’il ne se retrouve entre les mains de la victime. Par exemple, en l’achetant, en le trafiquant et en le vendant sur un portail en ligne.
Dans son blog, Rashid a déclaré avoir contacté Ledger « il y a quelques mois » et leur avoir envoyé le code qu’il avait créé. Il a dit qu’il n’avait reçu aucune récompense pour cela.
Le fabricant de portefeuilles matériels de crypto-monnaies Ledger continue de réfuter les affirmations selon lesquelles ses appareils peuvent être piratés après qu’un adolescent les ait compromis.
Après que Saleem Rashid, âgé de 15 ans, a créé un code pour « backdoor » dans les portefeuilles de Ledger en novembre 2017, la société a publié des posts décrivant les événements comme « NON critiques » et a déclaré que les attaques potentielles « ne peuvent pas extraire les clés privées ou les semences. »
Le PDG de Ledger a accusé l’adolescent de s’être mis « visiblement en colère » lorsque la société n’a pas présenté le correctif comme s’il s’agissait d’une « mise à jour de sécurité critique », et a déclaré que sa décision de rendre le problème public « a généré beaucoup de panique ».
« Il est très difficile de protéger un appareil contre un attaquant qui y a accès physiquement. C’est pourquoi il est si important d’avoir des fabricants, des détaillants et des services de réparation de confiance », a déclaré Craig Young, chercheur à la société de sécurité Tripwire.
Rashid a ensuite réfuté ces affirmations sur les médias sociaux et dans un article publié sur son blog personnel intitulé « Breaking the Ledger Security Model » le 20 mars, affirmant qu’il pouvait toujours « extraire de manière autonome la clé privée racine une fois que l’utilisateur a déverrouillé l’appareil » et l’utiliser pour déclencher la manipulation des adresses de destination des transactions.
Cet argument met la pression à la fois sur Ledger et sur ses millions d’utilisateurs, qui jusqu’à présent avaient largement accepté les affirmations de la société selon lesquelles ses portefeuilles étaient 100 % sécurisés.
Ledger a tenté de corriger un total de trois failles de sécurité dans son matériel, dont celle identifiée par Rashid. Dans un message du 20 mars décrivant l’état d’avancement des mises à jour de sécurité,
Ledger a indiqué aux utilisateurs qu’ils seraient entièrement protégés après la mise à niveau de leurs portefeuilles : Jhon McAfee affirme que le pirate a réussi à accéder à la racine de Bitfi, mais qu’il n’a pas réussi à détruire la sécurité du système de crypto-monnaie. Les conditions de la prime étaient que le pirate réussisse à voler les bitcoins à l’intérieur de l’appareil et que tout ce qu’il puisse faire soit d’exécuter Doom.
Bien que l’objectif principal n’ait pas été atteint, ce n’est qu’une question de temps avant qu’il puisse obtenir un moyen de transférer les crypto-monnaies à partir de l’appareil.
