La tentative de détournement de certains comptes Binance, qui a eu lieu la semaine dernière, a été correctement maîtrisée par la plateforme.
Il n’en reste pas moins que celle qui gère l’équivalent de plus d’un milliard de dollars d’échanges chaque jour est susceptible de constituer une cible extrêmement lucrative – et elle suscite donc la convoitise de nombreux individus malveillants. Afin de limiter les risques liés à une prochaine attaque, Binance va mettre à contribution les internautes à travers des programmes de « Bounty ».
Des primes pour ceux qui mettraient la main sur les pirates
C’est une initiative sans précédent qu’a décidé de prendre hier la plateforme d’échange. Elle a ainsi indiqué qu’elle offrirait une prime à ceux qui fourniraient des informations qui l’aideront à appréhender les pirates qui avaient sévi la semaine dernière.
#Binance Hacker Bounty has just been announced.
Even though the hacking attempt against Binance on March 7th was not successful, it was clear it was a large-scale, organized effort. This needs to be addressed.https://t.co/KzeaRUqxK4
— binance (@binance_2017) 11 mars 2018
Binance propose ainsi une récompense équivalent à 250 000 dollars à ceux qui l’aideront à mettre la main sur ces hackers.
Binance Hacker Bounty (French Translation)https://t.co/6Xrau42LAt
— binance (@binance_2017) 12 mars 2018
« Binance offre une prime équivalente de 250 000 $US à quiconque fournira des informations qui mèneront à l’arrestation légale des pirates informatiques impliqués dans la tentative de piratage sur Binance le 7 mars 2018. »
Ce « bounty », sera payé avec le token de Binance (le BNB). Il sera accordé à « la première personne à fournir des renseignements et des éléments de preuve substantiels qui mèneront à l’arrestation légale des pirates informatiques ».
Pour cela, le site invite à « fournir des informations détaillées à [email protected] ainsi qu’aux services de police locaux ». Il ajoute qu’il est possible de rester anonyme – à condition que les lois locales de l’informateur le permettent. Par ailleurs, la société « se réserve le droit de répartir le montant de la prime à sa seule discrétion ».
Au-delà d’une volonté de traduire ces individus devant la justice, on peut penser que Binance cherche à envoyer un signal fort aux autres informaticiens qui seraient tentés d’emprunter une voie similaire. Rappelons que la plateforme n’oblige pas ses utilisateurs à se soumettre à un processus « Know Your Customer » – et que les seules informations dont elle dispose sur les assaillants se résument à une adresse e‑mail et une adresse IP.
Dans le même temps, Binance en a profité pour constituer une sorte de « fonds de défense ». Doté de l’équivalent de 10 millions de dollars de crypto-monnaies, celui-ci lui permettra de financer des primes futures, qui seront distribuées à ceux qui l’aideront à faire face à de nouvelles tentatives de piratage.
Enfin, elle a également « invité d’autres entreprises d’échanges et de cryptage à se joindre à [son] initiative ».
Une tentative avortée
Rappelons qu’il ne s’agissait pas d’une attaque directe sur les serveurs de Binance, mais de l’utilisation de données d’utilisateurs récoltées grâce à des dispositifs de phishing.
Fort heureusement, cette tentative a échoué. En effet, les pirates n’ont pas eu la possibilité de retirer les Bitcoins qu’ils avaient pu accumuler sur Binance grâce à un stratagème faisant intervenir la crypto-monnaie Viacoin (VIA).
Dans un article publié jeudi dernier, Binance avait apporté certaines précisions :
« Toutefois, comme les retraits ont été automatiquement gelés par notre système de gestion des risques, aucun des retraits tentés n’a pu être effectué. Par ailleurs, les coins VIA déposés par les pirates ont également été gelés. Non seulement les hackers n’ont dérobé aucun coin, mais leurs propres coins ont été retenus. Ces pirates étaient très bien organisés. Ils étaient suffisamment patients pour ne prendre aucune initiative immédiate, et ont attendu le moment opportun pour agir. Ils ont opté pour Via, un coin adossé à une faible liquidité, afin de pouvoir maximiser leurs gains ».
- À lire également : « Phishing Binance : Les hackers pris à leur propre piège »
Ce n’est sans doute pas la dernière tentative de piratage visant la plateforme, alors que les hackers semblent désormais plus enclins à mettre en place des dispositifs d’ingénierie sociale – des dispositifs qui cherchent à tromper des utilisateurs afin de les inciter à révéler certaines données personnelles.
Il y a quelques jours, Chanpeng Zhao, le CEO de Binance, indiquait qu’il estimait que “les attaques par phishing [constituaient] les formes de piratage les plus simples, les plus anciennes et les plus compliquées à éliminer. Tout ce que l’assaillant doit se contenter de faire, c’est d’envoyer des e‑mails”.
Pour aller plus loin, n’hésitez pas à consulter la liste de ses préconisations en matière de sécurité. Rappelons toutefois que, quelle que soit la qualité des dispositifs de sécurité utilisés par une plateforme, le meilleur moyen de protéger ses coins consiste à utiliser des portefeuilles dont on détient les clés privées – qu’ils soient « papiers », « logiciels » ou « matériels ».
Références : Bitcoinist, Binance
J’ai connu Binance l’année dernière quand j’ai commencé à m’intéresser aux Blockchains. Une personne me l’avait conseillé afin de me procurer des NEO. Au début cela me parraissait être un tout petit exchange, je n’était pas très rassuré quand à sa sécurité. Aujourd’hui, en Mars 2018, c’est l’exchange que je recommande, en qui j’ai confiance à 100%.