Quand on cache un investissement de 10.000 dollars, mieux vaut noter son mot de passe quelque part. | Gabriel Wasylko via Unsplash
Quand on cache un investissement de 10.000 dollars, mieux vaut noter son mot de passe quelque part. | Gabriel Wasylko via Unsplash

L'homme qui voulait voler ses propres bitcoins

Quand oublier son mot de passe peut coûter 300.000 dollars.

Michael Stay est expert en cybersécurité. En octobre 2019, il reçoit dans sa boîte mail une demande inhabituelle. Un Russe désire hacker un fichier ZIP qui, selon lui, contient 300.000 dollars [255.000 euros] en bitcoins. Il n'est pas question d'un piratage illégal: les bitcoins lui appartiennent.

Cet homme affirme avoir acheté l'équivalent de 10.000 dollars [8.400 euros] de bitcoins en janvier 2016. La cryptomonnaie était déjà populaire à l'époque, mais n'avait pas encore atteint les niveaux stratosphériques de ces derniers mois.

Las, il a ensuite perdu le mot de passe du fichier ZIP dans lequel il avait caché la clé de cryptage de ses bitcoins, et désire désormais forcer l'ouverture de sa propre archive –un problème très courant dans le monde des cryptos.

Au début des années 2000, Mike Stay a publié les résultats d'une expérience démontrant la vulnérabilité des formats ZIP, une manière de compresser des fichiers et de les chiffrer. Se tourner vers lui était donc une évidence pour le Russe.

Quelques trillions de possibilités

Comme il l'a raconté lors d'une présentation à la DEF CON 2020 (la convention des hackers la plus connue au monde), Stay décide d'accepter; notamment parce que son client mystère dispose de l'ordinateur avec lequel le fichier a été crypté, ce qui tend à indiquer qu'il lui appartient bien. Il demande pour cela 100.000 dollars (84.000 euros).

Après examen, il apparait que le ZIP a été chiffré par un cryptographe amateur avec un ZIP 2.0 Legacy, une méthode ancienne et relativement peu fiable. Toutefois, «dire qu'une méthode de chiffrage est insuffisante est une chose, la briser en est une autre», explique Stay.

Il parvient d'abord à réduire les mots de passe et clés de cryptage possibles à quelques trillions, puis décide de louer de la puissance de calcul dans le cloud afin de lancer une attaque contre le fichier.

Après avoir tourné pendant dix jours, le programme échoue. Les ingénieurs mis sur le coup l'étudient en profondeur, trouvent un bug, puis relancent une nouvelle tentative. Le fichier s'ouvre, les bitcoins sont enfin accessibles.

Finalement, le processus aura coûté 7.000 dollars au lieu des 100.000 prévus. Le client n'a donc payé que 25.000 dollars à ses sauveurs, et a pu remettre la main sur son magot crypté.

En ce moment

Musk veut conquérir l'Europe avec des véhicules électriques d'une autonomie de 1.000 kilomètres

Biz

Musk veut conquérir l'Europe avec des véhicules électriques d'une autonomie de 1.000 kilomètres

Cela suppose des batteries moins chères et plus puissantes.

Si vous voulez un VPN, autant en prendre un qui soit sécurisé!

Tech

Si vous voulez un VPN, autant en prendre un qui soit sécurisé!

De plus en plus d’internautes utilisent des VPN. Au point de prendre parfois tout et n’importe quoi et de ne pas réellement être protégés.

Mais au fait, qui a inventé la roue?

Tech

Mais au fait, qui a inventé la roue?

D'apparence simple, elle est très complexe. Et fut d'abord appliquée à un jouet.