Les développeurs à l’origine du wallet Electrum ont mis en place un correctif d’urgence pour remédier à une faille critique présente dans le logiciel. Cette vulnérabilité a pu potentiellement permettre à des sites hébergeant le wallet Electrum de dérober les crypto-monnaies de certains utilisateurs. Après la publication d’un premier correctif qui n’était pas parvenu à venir à bout de cette faille, Electrum en a diffusé un second hier.
Un correctif pour remédier à un problème connu depuis longtemps
La semaine dernière, on apprenait qu’un bug lié à des puces Intel exposait certaines données des internautes.
Il s’agit d’une histoire similaire avec la faille contenue dans les wallets Electrum – et celle-ci pourrait avoir été présente dans le logiciel depuis plus de 2 ans.
Tavis Ormandy, chercheur en informatique chez Google, a déclaré hier sur Twitter qu’il avait déjà découvert ce bug il y a un certain temps :
The bitcoin wallet Electrum allows any website to steal your bitcoins. I was gonna report it…but there was already an open issue from last year. I pointed out this is kinda critical, and they made a new release within a few hours. Update to 3.0.4 if you use it.
— Tavis Ormandy (@taviso) 7 janvier 2018
Après avoir finalement alerté les équipes d’Electrum, en leur indiquant qu’il s’agissait d’une vulnérabilité critique, celles-ci se sont empressées de proposer un correctif pour y remédier.
Dans un article publié hier sur Bitcointalk, l’administrateur Theymos alertait sur l’existence de cette faille, en conseillant aux utilisateurs de fermer immédiatement leur wallet Electrum et de le mettre à jour :
Etapes à suivre :
- Si Electrum est actuellement ouvert, fermez-le immédiatement
- Mettez à jour le logiciel vers la version 3.0.5 (en prenant soin de vérifier la signature PGP)
Il explique : « Si votre logiciel Electrum a été, à un moment, ouvert sans mot de passe défini pour votre wallet ; et qu’une page web était alors ouverte sur votre ordinateur, alors il est possible que votre wallet soit d’ores et déjà compromis. Les personnes particulièrement paranoïaques devraient envoyer l’ensemble des BTC contenus dans leur vieux portefeuille Electrum vers un wallet fraîchement créé ».
Il indiquait toutefois que les internautes qui possédaient une ancienne version d’Electrum qu’ils n’utilisaient pas actuellement ne courraient aucun risque – ajoutant qu’ils ne devaient pas oublier de mettre à jour leur logiciel avant de le réutiliser.
L’article fut ensuite révisé – voici ce que Theymos ajoutait :
« Si vous n’utilisez pas de mot de passe pour votre wallet, alors les risques de vol sont évidents. Si vous aviez mis en place un mot de passe “décent”, alors il semble que le pirate pourrait “seulement” obtenir votre adresse/les informations liées à vos transactions à partir de votre wallet, et modifier votre paramètres Electrum – ce dernier élément me semble être le plus enclin à pouvoir être exploité par la suite.
Par conséquent, si vous aviez mis en place un mot de passe, vous pouvez “limiter votre degré de panique”, mais vous devriez aborder cette problématique très sérieusement ».
Les risques associés aux « hot wallets »
L’individu qui avait alerté le premier sur cette faille, en l’évoquant sur Github le 24 novembre dernier, expliquait ceci :
« Lorsque le programme Electrum est en train d’être exécuté, un individu utilisant un hôte virtuel différent sur le serveur web pourrait facilement accéder à votre wallet au travers du port RPC local. Actuellement, il n’existe pas de sécurité/authentification, permettant ainsi un accès complet au wallet à un individu qui aurait accès au port RPC ».
Electrum est un logiciel gratuit utilisé par de nombreux détenteurs de Bitcoins. N’importe qui peut déployer un serveur Electrum, et le logiciel peut être lié à des « hardware wallets » tels que Trezor, Ledger ou keepKey. Parmi les fonctionnalités avancées proposées par Electrum, on retrouve la multi-signatures, ainsi que la possibilité de signer des transactions en utilisant un périphérique de “cold storage”, non connecté à Internet.
Ce bug semble ainsi avoir été corrigé – bien qu’il ait fallu deux tentatives, puisque le premier correctif n’était pas efficace. Toutefois, dans la mesure où il a été découvert il y a plusieurs mois, il est difficile de s’assurer qu’aucun utilisateur d’Electrum n’en a été victime.
Ce problème montre les risques associés au stockage de Bitcoin sur un « hot wallet », connecté à Internet. Pour pouvoir bénéficier d’une sécurité optimale, il est recommandé de se tourner vers un « hardware wallet », comme ceux proposés par les sociétés Ledger, KeepKey ou Trezor. Il est également possible d’utiliser un « paper wallet » – s’ils sont gratuits, il sont toutefois beaucoup moins pratiques d’utilisation.
Références : News.Bitcoin, GitHub