Chronique – L’incroyable histoire du « KYC Leak » de Binance (Rançon de 300 BTC)

Retour en détail sur l’histoire récente du « Binance KYC leak« . Entre rançon, piratage et mensonge. Une chronique réelle, digne des plus grands récits de la scène crypto de ces dernières années. Ces KYC sont-ils vrais ? Binance est-il responsable ? Vos données sont-elles en danger ?

Récit des faits – Des données (KYC) d’utilisateurs de Binance dans la nature

Binance est la plateforme de trading de l’écosystème crypto la plus exploitée, celle qui génère le plus de volume et la plus suivie sur les réseaux. Malgré cette place de leader, l’exchange rencontre fréquemment des soucis plutôt conséquents (régulièrement des histoires concernant des piratages de cryptos ou de données). On se souvient de l’exemple (récent) des 7000 BTC dérobés en mai 2019. La semaine dernière, un nouveau cas de « fuite de données » a fait beaucoup parler de lui dans la cryptosphère.

En effet, le 7 août, un individu a affirmé détenir des KYC (Know Your Customer) de clients de la plateforme de trading, qui auraient été obtenus via un piratage. Le « hacker » anonyme est entré en contact avec l’exchange, demandant 300 Bitcoins en contrepartie (3,5 millions de dollars) pour ne pas divulguer publiquement les documents. Au total, 10 000 photos seraient concernées.

Alors petit rappel pour les débutants, un KYC est un processus de vérification d’identité des clients d’une entreprise. Ce dernier va, en général, uploader ses documents d’identité et un selfie par exemple pour justifier de qui il est. L’objectif est de prévenir la fraude fiscale, l’usurpation d’identité ou le blanchiment d’argent. Ce processus est désormais fréquemment utilisé par les sociétés en lien avec l’écosystème crypto.

Alors que l’exchange n’a pas voulu payer la rançon, le pirate a donc réagi en créant un channel Telegram dans lequel il a diffusé des photos d’individus prenant un selfie avec la mention « Binance, 24/02/2018« . Le titre du channel : Kycisimportant. A l’intérieur de celui-ci, des centaines de KYC sont dévoilés. Des personnes réalisant un selfie avec leurs portraits d’identité. Il est maintenant fermé et on peut observer que le pirate a tenté d’ouvrir d’autres groupes sur TG, automatiquement clôturés. De nombreux analystes de l’écosystème déclarent que les informations à propos de ce hack, ne sont peut-être pas fausses, mais datent d’il y a déjà plus d’un an.

CoinDesk est entré en contact avec des clients de Binance qui ont confirmé qu’il s’agissait bien de leurs photos, fournies à la plateforme pour la réalisation d’un KYC. Un des utilisateurs, contacté par CoinDesk reconnaît son selfie, mais les informations à propos de son adresse seraient fausses. Le média anglophone déclare que certains autres documents semblent avoir été modifiés. Dans tous les cas, plusieurs d’entre eux sont avérés comme réels, ce qui est extrêmement préoccupant.

En réaction – Binance publie un communiqué et offre 25 BTC pour des informations

Don’t fall into the « KYC leak » FUD. We are investigating, will update shortly.

— CZ Binance (@cz_binance) August 7, 2019

La plateforme de trading Binance ne s’est pas laissée faire et a publié un communiqué de presse public qui parle d’un « faux leak de KYC« . La société est ferme, elle ne souhaite pas coopérer avec le pirate et mène des investigations pour en savoir plus sur cette histoire. L’exchange annonce qu’il y a des incohérences entre les données du hacker et celles de Binance et que ces documents ne contiennent pas l’empreinte digitale caractéristique des KYC de la plateforme asiatique. L’équipe technique cherche à identifier la source de ces images. Le système de sécurité de Binance n’aurait donc pas été impacté.

La société admet cependant que les photos semblent à première vue dater de février 2018, à une époque où Binance externalisait le processus de KYC du fait du grand volume de demandes et d’inscriptions des utilisateurs. Ce communiqué fait savoir que lorsque les représentants de la société requièrent des preuves et des sources de ces données, le pirate refuse et insiste pour la rançon de 300 BTC.

Pour finir, l’exchange numéro un annonce offrir jusqu’à 25 Bitcoins pour des informations qui permettraient d’identifier l’auteur des faits et de le poursuivre sur le terrain de la justice.

A qui la faute alors et est-ce que nos données (KYC) sont en danger ?

On est donc en droit de se demander qui est le responsable de ce fiasco et s’il s’avère que ces documents sont bien réels (ce que semble démontrer les discussions entre CoinDesk et les utilisateurs de Binance).

A propos de cet incident spécifique, si vous n’avez pas envoyé votre KYC sur la plateforme entre le 23 et le 24 février 2018, vous ne devriez pas être concernés. Mieux encore, le problème ne serait donc plus d’actualité, car l’exchange annonce ne plus sous-traiter ses procédures de vérification d’identité. Mais peut-on en être vraiment sûr ?

En tant qu’utilisateur de l’exchange, on peut être en droit de se demander si Binance a les épaules pour assumer son rôle de leader des plateformes de l’écosystème crypto. Les hacks qui se multiplient au fil des mois ne sont pas spécialement encourageants pour la suite. Pour rappel, la plateforme est encore très jeune, lancée seulement en septembre 2017. Certains utilisateurs ne savent plus trop s’ils doivent faire confiance à l’exchange. En effet, les communiqués officiels sont toujours rassurants, mais ne sont-ils pas « l’arbre qui cache la forêt » ? Si des KYC de certains clients se baladent dans la nature, la situation est grave. Avec un KYC, il est possible d’usurper votre identité sur internet pour souscrire à énormément de services.

Même si la plateforme déclare avoir délégué la tâche de certains KYC en février 2018, elle ne donne aucune preuve à la communauté que c’était bien le cas et que ce n’est pas son propre système qui a été piraté.

Qui est le hacker et d’où proviennent ces leaks de KYC ?

Un individu sous le pseudonyme de Bnatov Platon a contacté CoinDesk en amont de cette histoire et s’est présenté comme un White Hat Hacker (soit un pirate avec de bonnes intentions). Dès le mois de juillet, Platon et CoinDesk ont largement échangé et on en apprend plus dans un article publié sur le média anglophone. Il semblerait que cet individu soit la personne en possession des KYC. Voici quelques éléments intrigants :

• Le hacker et Binance ont également longtemps échangé, en amont des leaks des documents KYC sur Telegram.

• D’après le pirate, les KYC auraient été récupérés après le hack des 7000 BTC de mai dernier. Les hackers auraient pu, via des API, obtenir des informations sur les comptes des utilisateurs : 2FA, mots de passe, mais également d’autres documents (et donc les KYC).

• Platon affirme qu’un « insider » (soit un employé de Binance) a permis de rendre publics ces nombreuses clés API offrant la possibilité à des hackers de récupérer des actifs à distance. Des accusations gravissimes pour l’exchange.

• D’après des spécialistes interrogés par CoinDesk, il semblerait bien qu’il s’agisse d’une attaque API. Les clés API auraient été récoltées quelque part, puis exploitées.

• Bnatov Platon déclare ne pas être l’auteur du piratage de mai 2019, mais aurait hacké quelqu’un d’impliqué dans ce précédent vol de données.

• Les comptes à risque auraient été ouverts entre 2018 et 2019.

• Il se considère comme un White Hat Hacker et souhaitait, de la part de Binance, une récompense pour avoir mis en évidence des brèches dans le système de la plateforme.

• En effet, Platon déclare qu’il voulait aider Binance, en les contribuant à attraper les hackers. Une publicité qui aurait jugé « très positive » pour l’exchange.

• Les négociations entre Platon et Binance semblent s’être arrêtées le 22 juillet 2019. « Ils n’étaient pas prêts à me donner un centime, le deal est cassé. Ma décision de négocier avec Binance était mauvaise … ce ne sont pas les bonnes personnes« . C’est après ces pourparlers, que les menaces ont commencé à se développer. Binance a considéré que le FUD créé par Platon était extrêmement néfaste pour l’exchange et cela a renforcé leur conviction de ne pas coopérer.

• Platon déclare qu’il faut se méfier de Binance. « Si je cherchais de l’argent, je les revendrais (les KYC) plutôt que les rendre publics« . Il souhaiterait simplement mettre en lumière les limites de la plateforme aux utilisateurs.

Dans tous les cas, cette histoire sème le doute sur Binance, et c’était bien ce que Platon recherchait. Cependant, démêler le vrai du faux dans ces éléments semble être une mission très compliquée. Des insiders de chez Binance sont-ils impliqués ? Peut-être, difficile à dire. Vos documents sont-ils en danger sur la plateforme ? Même réponse, mais espérons que non. Est-ce que Platon essayait de gagner 3 millions de dollars payés par Binance, alors qu’il déclarait ne pas avoir besoin de cet argent ? Probablement…

→ Pour suivre CryptoActu sur Telegram, c’est par ici : https://t.me/CryptoActuCom ⚡️