L'époque où seuls quelques initiés se passionnaient pour le Bitcoin est maintenant loin derrière nous. Au cas où vous l'auriez loupé, il existe aujourd'hui et dans le monde entier des distributeurs automatiques de Bitcoin (BATM) qui permettent de convertir des devises courantes en cryptomonnaie et inversement.
Mais tout comme les distributeurs classiques, cette technologie attire les cambrioleurs. Selon Ars Technica, le fabriquant de BATM General Bytes en a fait les frais le week-end du 18 mars: lors d'une attaque, un ou plusieurs hackers ont dérobé 1,5 million de dollars (environ 1,38 million d'euros) en Bitcoin. Les responsables de cette attaque inédite ont exploité une faille dans le système qui a depuis été corrigée en moins de vingt-quatre heures.
Le fonctionnement de ces distributeurs peut paraître obscur à qui n'a jamais possédé quelque forme de cryptomonnaie. Les usagers doivent tout d'abord posséder un «portefeuille chaud» de Bitcoin, donc une application ou un logiciel pour stocker cet argent numérique et y accéder depuis le web. Puis, il faut se connecter à un serveur d'application cryptographique (CAS). Ce dernier peut ensuite être géré par l'usager ou, jusqu'à cet événement, pouvait être géré par l'entreprise General Bytes.
Pour une raison assez floue, une technologie connue sous le nom d'«interface du serveur maître» permettait jusqu'alors de télécharger du contenu vidéo depuis le terminal vers les CAS. Les hackers ont justement utilisé une faille de cette interface pour télécharger et exécuter une application Java malveillante et ainsi subtiliser 56 bitcoins, soit l'équivalent d'environ 1,5 million de dollars. La vulnérabilité a été corrigée seulement quinze heures plus tard, mais en raison du fonctionnement des cryptomonnaies, les pertes sont irrécupérables.
Vent de panique
Tout de suite après l'attaque, l'entreprise a présenté ses excuses. «La nuit du 17 au 18 mars a été la plus difficile pour nous et certains de nos clients, a-t-elle affirmé. Toute l'équipe s'est mobilisée pour travailler contre la montre et récolter les données concernant la faille de sécurité. Elle travaille encore à résoudre tous les cas pour aider nos clients à pouvoir de nouveau utiliser les guichets dès que possible.»
L'entreprise a également déclaré qu'à l'avenir, General Bytes ne pourrait plus gérer les CAS pour le compte de ses clients. Une enquête est menée en interne et en coopération avec les autorités pour identifier l'acteur de l'opération de piratage. L'entreprise s'est également justifiée en affirmant avoir reçu «plusieurs experts en sécurité depuis 2021», sans qu'aucun d'entre eux n'ait détecté la vulnérabilité exploitée.
Morale de l'histoire: il est grand temps d'arrêter de stocker des cryptomonnaies dans ce qu'on appelle des «portefeuilles chauds», accessibles par internet. Cette pratique, de plus en plus répandue, est d'ailleurs fortement déconseillée par les praticiens de la sécurité puisqu'elle facilite les piratages.
Or, les BTAM et autres guichets de cryptomonnaie resteront certainement des cibles prioritaires, puisqu'ils ne peuvent se passer des portefeuilles chauds pour effectuer des transactions en temps réel.
