L’histoire, au-delà de la fin heureuse, soulève de nouvelles questions sur les systèmes de sécurité des portefeuilles cryptomonnaies. RoboForm, en effet, compte plus de 6 millions d’utilisateurs dans le monde entier, et est l’un des gestionnaires de mots de passe les plus utilisés sur le marché. Le cas de Michael montre à quel point il est facile de créer des mots de passe vulnérables.
N’importe qui peut perdre un mot de passe, le problème est si la clé de sécurité est le seul moyen d’accéder à 2 millions de dollars. C’est ce qui est arrivé à Michael (un pseudonyme pour protéger son identité), en 2013 il a stocké ses crypto-monnaies dans un portefeuille numérique protégé par un mot de passe généré par RoboForm. Il avait enregistré la clé d’accès de 20 caractères dans un fichier crypté, pour protéger 43,6 bitcoins, valant environ 4 000 euros en 2013. Puis le fichier s’est endommagé et Michael a perdu l’accès. Pendant 11 ans, les bitcoins sont restés bloqués dans son portefeuille numérique.
Actuellement, grâce à l’aide des pirates Joe Grand et Bruno, Michael a réussi à retrouver son mot de passe. « Cela a pris des années mais j’ai eu de la chance », a-t-il déclaré à Wired. « Si j’avais pu accéder, j’aurais vendu les bitcoins alors qu’ils valaient 40 000 dollars ». Et au lieu de cela, ils sont restés bloqués sur le compte de Michael, maintenant ses crypto-monnaies valent 2 millions de dollars. « Le fait d’avoir perdu le mot de passe a été une bonne chose du point de vue financier. »
Pourquoi a-t-il été si difficile de récupérer les bitcoins
Il y a deux ans, Michael a cherché de l’aide et s’est tourné vers Joe Grand, un pirate informatique expert en récupération de mots de passe pour les portefeuilles cryptomonnaies. La première réponse a été un non, selon le pirate il était impossible de récupérer la clé d’accès. Puis il a changé d’avis. Lorsque Michael est retourné le voir en juin, il a décidé d’accepter le défi. Il voulait cependant être aidé par Bruno, un autre pirate informatique. Ils ont passé des mois à analyser le programme RoboForm, que Michael avait utilisé pour créer son mot de passe. L’objectif était de trouver des failles pour récupérer la clé d’accès. Mais ce n’était pas si simple.
Les premières tentatives ont échoué. Grand et Bruno ont en effet découvert une faille dans le programme RoboForm lors de leurs analyses. Le générateur de nombres aléatoires pour créer le mot de passe était basé sur la date et l’heure de l’ordinateur de l’utilisateur. Cela aurait facilité la récupération en réduisant les tentatives d’accès. Pourtant, Michael ne pouvait pas se souvenir du jour exact. La seule donnée remontait au premier transfert de bitcoin du 14 avril 2013.
Comment le mot de passe a été trouvé
Grand et Bruno ont alors décidé de configurer RoboForm pour générer des mots de passe de 20 caractères avec des lettres majuscules et minuscules, des chiffres et huit caractères spéciaux, en considérant comme périodes d’inscription deux créneaux, le premier du 1er mars au 20 avril 2013, et le second entre le 20 avril et le 1er juin 2013. Cela semblait impossible, puis ils ont découvert une deuxième faille dans le système: certaines mots de passe ne prévoyaient pas de caractères spéciaux. Ils ont donc décidé de modifier le mécanisme de génération de mots de passe, réduisant les possibilités, pour finalement trouver le bon mot de passe, créé le 15 mai 2013 à 16h10min40s GMT.
« En réalité, nous avons eu de la chance que nos paramètres et la plage de temps étaient corrects. Si l’un d’entre eux avait été erroné, nous aurions… continué à faire des hypothèses dans l’obscurité », a expliqué Grand à Wired. « Il aurait fallu beaucoup plus de temps pour pré-calculer tous les mots de passe possibles. »
Les mots de passe aléatoires ne sont pas sûrs
L’histoire, au-delà de la fin heureuse, soulève de nouvelles questions sur les systèmes de sécurité des portefeuilles cryptomonnaies. RoboForm, en effet, compte plus de 6 millions d’utilisateurs dans le monde entier, et est l’un des gestionnaires de mots de passe les plus utilisés sur le marché. Le cas de Michael montre à quel point il est facile de créer des mots de passe vulnérables. Déjà le simple fait de connaître la date de création pourrait faciliter la tâche des pirates cherchant à accéder à un compte.
L’entreprise a déclaré avoir apporté des modifications pour « augmenter l’aléatoire des mots de passe générés« . Pourtant, il est rare que les utilisateurs choisissent de changer de mot de passe. Comme l’explique Grand: « Nous savons que la plupart des gens ne modifient pas les mots de passe à moins d’y être obligés. Sur 935 mots de passe dans mon gestionnaire de mots de passe (pas RoboForm), 220 sont de 2015 et antérieurs, et la plupart sont pour des sites que j’utilise encore. »