Des révélations récentes indiquent qu'une multitude de principaux fournisseurs de portefeuilles de crypto-monnaie étaient susceptibles d'être victimes de failles de sécurité potentielles. Ces vulnérabilités, désormais connues sous le nom de « BitForge » , ont mis en évidence les cyber-risques inhérents au domaine de la crypto-monnaie, alors même que le monde est aux prises avec une adoption croissante et une surveillance réglementaire plus stricte.
La société de cybersécurité Fireblocks a présenté ses conclusions lors de la conférence Black Hat USA , révélant que plus de 15 portefeuilles de crypto-monnaie prédominants, représentant plus de 80 % du marché, étaient concernés. Ces vulnérabilités auraient pu facilement être exploitées pour compromettre les fonds des utilisateurs sur des échanges célèbres, notamment Binance et Coinbase .
Ces failles de sécurité ciblaient principalement les protocoles de calcul multipartite (MPC). Les MPC fractionnent généralement les clés privées en plusieurs fragments, dispersés sur différents appareils. Cette méthode devrait idéalement renforcer la sécurité. Cependant, il a été découvert que certaines implémentations de MPC permettaient aux acteurs malveillants d'accéder à la clé complète après seulement 16 transactions. De telles transactions rapides pourraient se produire en quelques secondes sur des portefeuilles à haute fréquence.
Le PDG de Fireblocks, Michael Shaulov, a expliqué la simplicité d'exploitation de ces vulnérabilités. Il a fait remarquer: «Les vulnérabilités de BitForge fonctionnent conformément aux mécanismes courants de cyberattaque. Un seul utilisateur compromis par un logiciel malveillant est tout ce dont nous avons besoin. » Cela souligne la menace omniprésente des logiciels malveillants, souvent diffusés via des escroqueries par hameçonnage conçues pour inciter les utilisateurs à télécharger des logiciels malveillants ou à révéler des données sensibles.
La divulgation de cette vulnérabilité intervient au milieu d'un paysage mixte de crimes cryptographiques. Alors que le chiffre global était en baisse de 65 % à 3,3 milliards de dollars au premier semestre 2023 par rapport à 2022, les attaques de ransomwares – des logiciels malveillants qui cryptent les fichiers d'une victime et exigent un paiement pour leur libération, généralement en crypto-monnaie – augmentent fortement. Ceux-ci devraient toucher près de 900 millions de dollars cette année, légèrement derrière les 940 millions de dollars de 2021.
La communauté internationale et les instances de régulation ont depuis longtemps des appréhensions quant à la cybersécurité liée aux actifs numériques. Compte tenu de la multiplication dent vols de crypto-monnaie, de nombreux gouvernements intensifient leurs efforts pour intégrer les actifs numériques et leurs fournisseurs dans un cadre réglementaire. À titre d'illustration, la Securities and Futures Commission (SFC) de Hong Kong nécessite désormais que les bourses de crypto-monnaie opérant dans sa juridiction acquièrent une licence. Cette décision vise à imposer des références en matière de cybersécurité, de gestion des clés privées et d'autres domaines.
Cependant, des incertitudes demeurent. Bien que Fireblocks ait identifié des vulnérabilités dans un nombre important de fournisseurs de portefeuilles, il reste difficile de déterminer le nombre exact affecté par ces implémentations MPC défectueuses.
Une plongée profonde dans BitForge
Les recherches de Fireblocks ont identifié des vulnérabilités dans les implémentations de certains protocoles de calcul multipartite (MPC), en particulier GG-18, GG-20 et Lindell17. Ces vulnérabilités ont été trac à des écarts par rapport aux implémentations standard ou à des efforts antérieurs pour corriger des failles connues.
Notamment, les protocoles GG-18 et GG-20 ont rencontré des problèmes où les tentatives antérieures de correction des vulnérabilités en introduisaient par inadvertance de nouvelles. Le défaut de Lindell17, quant à lui, tournait autour des écarts par rapport aux spécifications académiques d'origine et de la mauvaise gestion des signatures échouées.
En témoignage de la collaboration de l'industrie, Fireblocks a entrepris un processus de divulgation de 90 jours. Leurs efforts ont suscité une réponse proactive. Les principaux fournisseurs de portefeuilles, en particulier Coinbase WaaS et Zengo, ont été félicités pour leur action rapide visant à remédier aux failles de sécurité.
Alors que les monnaies numériques continuent de se tisser dans le tissu financier mondial, il est dent que le maintien de la cybersécurité restera une priorité absolue pour les fournisseurs et les régulateurs.
