Aspect Légal Piratage

Electrum vient de publier un correctif permettant de remédier à une vulnérabilité critique

Portefeuille Bitcoin

Les déve­lop­peurs à l’o­ri­gine du wal­let Elec­trum ont mis en place un cor­rec­tif d’ur­gence pour remé­dier à une faille cri­tique pré­sente dans le logi­ciel. Cette vul­né­ra­bi­li­té a pu poten­tiel­le­ment per­mettre à des sites héber­geant le wal­let Elec­trum de déro­ber les cryp­to-mon­naies de cer­tains uti­li­sa­teurs. Après la publi­ca­tion d’un pre­mier cor­rec­tif qui n’é­tait pas par­ve­nu à venir à bout de cette faille, Elec­trum en a dif­fu­sé un second hier.

Un correctif pour remédier à un problème connu depuis longtemps

Logo ElectrumLa semaine der­nière, on appre­nait qu’un bug lié à des puces Intel expo­sait cer­taines don­nées des internautes.

Il s’a­git d’une his­toire simi­laire avec la faille conte­nue dans les wal­lets Elec­trum – et celle-ci pour­rait avoir été pré­sente dans le logi­ciel depuis plus de 2 ans.

Tavis Orman­dy, cher­cheur en infor­ma­tique chez Google, a décla­ré hier sur Twit­ter qu’il avait déjà décou­vert ce bug il y a un cer­tain temps :


Après avoir fina­le­ment aler­té les équipes d’E­lec­trum, en leur indi­quant qu’il s’a­gis­sait d’une vul­né­ra­bi­li­té cri­tique, celles-ci se sont empres­sées de pro­po­ser un cor­rec­tif pour y remédier.

Dans un article publié hier sur Bit­coin­talk, l’ad­mi­nis­tra­teur They­mos aler­tait sur l’exis­tence de cette faille, en conseillant aux uti­li­sa­teurs de fer­mer immé­dia­te­ment leur wal­let Elec­trum et de le mettre à jour :

Conseils Bitcointalk Electrum

Etapes à suivre :

  1. Si Elec­trum est actuel­le­ment ouvert, fer­mez-le immédiatement
  2. Met­tez à jour le logi­ciel vers la ver­sion 3.0.5 (en pre­nant soin de véri­fier la signa­ture PGP)

Il explique : « Si votre logi­ciel Elec­trum a été, à un moment, ouvert sans mot de passe défi­ni pour votre wal­let ; et qu’une page web était alors ouverte sur votre ordi­na­teur, alors il est pos­sible que votre wal­let soit d’ores et déjà com­pro­mis. Les per­sonnes par­ti­cu­liè­re­ment para­noïaques devraient envoyer l’en­semble des BTC conte­nus dans leur vieux por­te­feuille Elec­trum vers un wal­let fraî­che­ment créé ».

Il indi­quait tou­te­fois que les inter­nautes qui pos­sé­daient une ancienne ver­sion d’E­lec­trum qu’ils n’u­ti­li­saient pas actuel­le­ment ne cour­raient aucun risque – ajou­tant qu’ils ne devaient pas oublier de mettre à jour leur logi­ciel avant de le réuti­li­ser.

L’ar­ticle fut ensuite révi­sé – voi­ci ce que They­mos ajoutait :

« Si vous n’u­ti­li­sez pas de mot de passe pour votre wal­let, alors les risques de vol sont évi­dents. Si vous aviez mis en place un mot de passe “décent”, alors il semble que le pirate pour­rait “seule­ment” obte­nir votre adresse/les infor­ma­tions liées à vos tran­sac­tions à par­tir de votre wal­let, et modi­fier votre para­mètres Elec­trum – ce der­nier élé­ment me semble être le plus enclin à pou­voir être exploi­té par la suite.

Par consé­quent, si vous aviez mis en place un mot de passe, vous pou­vez “limi­ter votre degré de panique”, mais vous devriez abor­der cette pro­blé­ma­tique très sérieusement ».

Les risques associés aux « hot wallets »

L’in­di­vi­du qui avait aler­té le pre­mier sur cette faille, en l’é­vo­quant sur Github le 24 novembre der­nier, expli­quait ceci :

« Lorsque le pro­gramme Elec­trum est en train d’être exé­cu­té, un indi­vi­du uti­li­sant un hôte vir­tuel dif­fé­rent sur le ser­veur web pour­rait faci­le­ment accé­der à votre wal­let au tra­vers du port RPC local. Actuel­le­ment, il n’existe pas de sécurité/authentification, per­met­tant ain­si un accès com­plet au wal­let à un indi­vi­du qui aurait accès au port RPC ».

JSONRPC Interface Electrum Github

Elec­trum est un logi­ciel gra­tuit uti­li­sé par de nom­breux déten­teurs de Bit­coins. N’im­porte qui peut déployer un ser­veur Elec­trum, et le logi­ciel peut être lié à des « hard­ware wal­lets » tels que Tre­zor, Led­ger ou keep­Key. Par­mi les fonc­tion­na­li­tés avan­cées pro­po­sées par Elec­trum, on retrouve la mul­ti-signa­tures, ain­si que la pos­si­bi­li­té de signer des tran­sac­tions en uti­li­sant un péri­phé­rique de “cold sto­rage”, non connec­té à Internet.

Ce bug semble ain­si avoir été cor­ri­gé –  bien qu’il ait fal­lu deux ten­ta­tives, puisque le pre­mier cor­rec­tif n’é­tait pas effi­cace. Tou­te­fois, dans la mesure où il a été décou­vert il y a plu­sieurs mois, il est dif­fi­cile de s’as­su­rer qu’au­cun uti­li­sa­teur d’E­lec­trum n’en a été vic­time.

Ce pro­blème montre les risques asso­ciés au sto­ckage de Bit­coin sur un « hot wal­let », connec­té à Inter­net. Pour pou­voir béné­fi­cier d’une sécu­ri­té opti­male, il est recom­man­dé de se tour­ner vers un « hard­ware wal­let », comme ceux pro­po­sés par les socié­tés Led­ger, Keep­Key ou Tre­zor. Il est éga­le­ment pos­sible d’u­ti­li­ser un « paper wal­let » – s’ils sont gra­tuits, il sont tou­te­fois beau­coup moins pra­tiques d’utilisation.

Réfé­rences : News.Bitcoin, GitHub

Rate this post
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires