IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une probable vulnérabilité montre comment il est facile de se faire voler des bitcoins
Sur la plateforme de cryptomonnaies Coinomi

Le , par Jonathan

567PARTAGES

12  0 
Avec les possibilités de gains qu’il est possible de faire en tirant profit des variations à la hausse du bitcoin, les entreprises et les particuliers n’hésitent pas à s’embarquer dans l’aventure en y investissant leurs avoirs dans cette monnaie cryptographique. Coinomi est un portefeuille de cryptomonnaie en ligne destiné à la fois aux mobiles et aux ordinateurs de bureau. Il offre un lieu de stockage, de gestion et d'échange sécurisé de Bitcoin et d'autres monnaies chiffrées. Il compte actuellement plus d'un demi-million de téléchargements sur Google Play Store. Son site web indique qu'il n'a jamais été piraté ni autrement compromis à ce jour, mais une prétendue vulnérabilité découverte met désormais cette affirmation en doute.

Le 22 février dernier, Warith Al Maawali, un consultant en sécurité informatique a contacté le support technique de Coinomi concernant une faille de sécurité dans ses portefeuilles de bureau. En cryptomonnaie, une clé privée est appelée la phrase secrète ou phrase de passe d'un portefeuille d'actifs numériques. Si la clé privée est perdue, elle ne peut pas être récupérée et le fonds qui y est stocké est définitivement perdu. Selon Al Maawali, cette faille compromettait la clé privée de son portefeuille par le fait que le correcteur orthographique intégré de Coinomi vérifiait automatiquement sa phrase secrète.


Cette vérification impliquait d'envoyer sa phrase secrète sous forme de texte brut à un site web de Google, ce qui laisse penser que ce transfert de données aurait donc pu être intercepté. Al Maawali affirme avoir perdu entre 60000 et 70000 dollars. Pour arriver à cette conclusion, le consultant en sécurité informatique a mené ses recherches : dans un premier temps, il a installé et démarré l'application Coinomi et sa première remarque était que la version non signée de l'application possédait une porte dérobée. Il a ensuite effectué une enquête plus poussée et a comparé la version non signée du fichier d'installation avec celle signée. La seule différence est qu’ils (les développeurs de chez Coinomi) ont ajouté une signature numérique au fichier exécutable principal.

Il a donc commencé à reproduire ce qu'il faisait dans une nouvelle machine virtuelle, mais cette fois, il a installé Fiddler, un logiciel qui vous permet de surveiller et de déboguer le trafic HTTP / HTTPS de toutes les applications en cours d'exécution sur votre machine. Puis il a commencé à surveiller le trafic en exécutant Fiddler en arrière-plan, puis il a lancé l'application Coinomi. C'est ainsi qu'il a pu se rendre compte du fait que sa phrase secrète était envoyée sous forme de texte brut au correcteur orthographique de Google. Ce qui permettait à toute personne ayant les compétences nécessaires (les employés de Google n'étant pas exclus) d'intercepter cette phrase secrète.

Coinomi a répondu à ces allégations en indiquant que la fonctionnalité de vérification orthographique était activée pour les portefeuilles de bureau, mais que la phrase secrète n'était pas envoyée en texte brut. D'après Coinomi, la phrase secrète était encapsulée dans une demande HTTPS avec Google comme seul destinataire. Coinomi a ajouté que Google n'a pas traité, mis en cache ou stocké les demandes.

Al Maawali a fait savoir qu'il compte intenter des actions en justice contre la société derrière Coinomi si elle n’agit pas pour assumer ses responsabilités. Il met également en garde les autres utilisateurs sur le fait qu'il soit possible que toutes les versions de l'application de bureau puissent être probablement affectées bien qu'il ne soit pas certain de ce qu'il en est des versions mobiles. Il a même réalisé une vidéo dans laquelle il reproduit les étapes effectuées pour prouver que la vulnérabilité existe.

Il est possible que la vulnérabilité soit réelle, mais certains estiment qu'il n'y a pas suffisamment d'éléments pour affirmer avec certitude qu'elle soit à l'origine de la prétendue disparition des fonds. Mais toute cette histoire aura au moins le mérite d'avoir une fois de plus, fait comprendre aux fournisseurs de portefeuilles de chiffrement, qu'ils doivent penser différemment en matière de sécurité.

Droit de réponse :

La réponse officielle
Le rapport de Cipherblade's

Et vous ?

Pensez-vous que les méthodes utilisées dans cette expérience soient suffisantes ?
Pensez-vous comme Al Malawi que le correcteur orthographique de Google soit le véritable vecteur d'attaque ?

Voir aussi :

Le bitcoin vaut moins que le coût d'extraction, selon JPMorgan, le coût de revient moyen pondéré d'un bitcoin étant estimé à environ 4 060 $
La valeur du bitcoin connaît une hausse de 20 % et celle du bitcoin cash croit de 130 % soubresauts de monnaies à l'agonie ou réelle reprise ?
La valeur du bitcoin plonge à 3800 dollars et entraine une perte globale de 163 milliards de $ chez les utilisateurs. Bitcoin, une arnaque déguisée ?

Une erreur dans cette actualité ? Signalez-nous-la !