Sécurité – Des hackers dépouillent plusieurs brainwallets en moins d’une seconde

19 octobre 2020 - 09:00

Temps de lecture : 3 minutes

Par Hugh B.

Dans le domaine de la sécurisation des cryptomonnaies de nombreuses options existent. Un choix parfois cornélien à ne pourtant pas prendre à la légère. Car de nombreux hackers sont à l’affût de la moindre faiblesse. Et toute faille peut se solder par la perte irrémédiable des fonds concernés. Une réalité que les brainwallets tentent d’enrayer, mais qui se heurte au manque d’imagination de leurs créateurs.

Mettre ses crytpomonnaies à l’abri est une problématique constante. En particulier dans le cas d’une activité de trading, même minime. Car cela nécessite de déplacer ses fonds sur des plateformes d’échange ou d’en exposer la traçabilité du fait des opérations réalisées. Et dans le domaine, les attaques sont fréquentes et se soldent bien souvent par des pertes qui se comptabilisent en millions de dollars.

Un problème en partie écarté par le stockage de ces monnaies numériques sur des clés de type hardware. Le leader dans le domaine étant la société Ledger et ses portefeuilles Nano. Mais là encore, la sécurité n’est pas optimale. Ce qui pousse certaines personnes à faire appel à des solutions de type brainwallet. Ce qui se résume à stocker ses fonds dans son cerveau, sous la forme d’une simple phrase à retenir.


Anonymat et cryptomonnaiess

Une formule que certains aiment à représenter comme le choix des personnes réfugiées ou souhaitant protéger leurs fonds de situations critiques. Mais est-ce réellement la meilleure option ?

Des brainwallets qui prennent la tête

Cette solution est applicable par le biais de sites Internet qui permettent de générer ce type de protection. Cela prend la forme d’une suite de signes apparemment aléatoires, mais faisant référence au texte initial. Dans ce cas de figure, il est possible de choisir une phrase populaire pour la soumettre au hachage sha256. Cela afin de l’utiliser comme clé privée et d’en faciliter la mémorisation, ou le fait de pouvoir la retrouver. Car si elle est perdue, les fonds le sont également !

Une expérience à laquelle s’est prêté le site BitMEX Research. Cela afin d’en éprouver la sécurité effective. Le tout sous la forme de huit phrases différentes générées à partir d’extraits de romans de fiction populaires. Certaines d’entre elles ayant subi une compression, d’autres non. Et les résultats de cette enquête sont plus inquiétants qu’autre chose.


Les brainwallets pas si sécurisés

« La vitesse et la nature de la disparition de ces fonds indiquent clairement que des gens ont des serveurs en ligne 24 heures sur 24 et 7 jours sur 7 qui analysent la blockchain (…) à la recherche de brainwallets faibles à pirater. » – BitMEX Research

Dépouillés en moins d’une seconde

En effet, le résultat démontre que la totalité des fonds ainsi « protégés » ont été volés dans les 24h suivant leur mise en place. Soit un total de 0,04 BTC sacrifié pour la science. Mais le fait le plus remarquable est que trois de ces dépôts ont disparu avant même que les transactions n’apparaissent sur la blockchain du Bitcoin. Soit en moins d’une seconde, montre en main !

Ce balayage (sweep) ultra rapide concernait cependant les phrases les plus simples de cette expérience. La moins sécurisée étant celle qui était non compressée et constituée des trois premiers mots du roman Moby-Dick d’Herman Melville : « Appelez-moi Ishmael.» 

Il n’aura fallu que le temps de 80 blocs (un peu plus de 10 heures) pour que la phrase la plus complexe soit également craquée. Cette dernière offrant la douce ironie d’être un extrait du white paper du Bitcoin (BTC).

Dans BRAINwallet il y a le mot « cerveau »

La conclusion de cette étude est simple, et se révèle être souvent la même en matière de sécurité. La qualité de l’outil n’est rien s’il ce dernier n’est pas optimisé par l’humain qui s’en sert. Aussi complexe que puisse être le codage l’absence d’imagination de son utilisateur en annule immédiatement toutes les capacités. 


Il se trompe d'adresse pour envoyer des BNB

Les chercheurs de BitMEX donnent cependant quelques pistes pour permettre d’optimiser ces bainwallets lors de leur mise en place. Le meilleur moyen se révélant être une combinaison de différentes sources n’ayant aucune relation entre elles.

« Il peut être sûr d’utiliser un brainwallet dans une mesure limitée. Par exemple, en combinant des sections de texte de plusieurs œuvres de fiction avec des anniversaires dans votre famille, votre numéro de téléphone et au moins une source aléatoire (par exemple, des dés). » – BitMEX Research

Recevez le top 3 de l'actualité crypto chaque dimanche