Jean BensanaEn exploitant une faille logicielle vieille de 10 ans, des pirates ont permis de retrouver un mot de passe vieux de 11 ans, pour accéder à une fortune de 3 millions de dollars en Bitcoin.
C’est l’histoire de Michael, qui en 2013, décide de stocker sa cryptomonnaie dans un portefeuille digital précise Wired. Pour protéger ce portefeuille, Michael utilisa Roboform, un gestionnaire et générateur de mots de passe. Au lieu de mettre ce mot de passe dans le gestionnaire Roboform, il décida de le stocker dans un fichier crypté. Plus tard, le fichier fut corrompu, empêchant Michael d’accéder à son mot de passe. Il avait alors sécurisé 43,6 bitcoins, soit l’équivalent d’environ 5 000 dollars en 2013.
S’ensuit, un parcours de longue haleine pour retrouver son mot de passe. Après avoir tenté de contacter plusieurs experts en piratage cryptographique, Michael tenta sa chance avec Grand, qui après un premier refus en 2022, accepta.
Grand a alors considéré plusieurs solutions possibles pour retrouver le mot de passe. Tout d’abord en écrivant un programme pour tester automatiquement tous les mots de passe possibles. Il s’est ravisé, car infaisable. Il a ensuite pensé à investiguer dans le gestionnaire de mot de passe Roboform en s’associant avec son ami Bruno, un autre pirate.
Retour vers le futur
Une opération qui aura finalement pris plusieurs mois. Des mois à désosser la version du programme RoboForm qu’ils pensaient que Michael utilisait en 2013. Ils ont fini par découvrir que le générateur de mots de passe présentait un défaut important. Le générateur n’était pas si aléatoire que cela.
Ils ont alors pu détourner la fonction de RoboForm chargée de vérifier la date et l’heure sur un ordinateur. Ainsi, ils ont pu faire voyager dans le temps et de retourner en 2013. Petit bémol, Michael ne se souvenait pas de la date précise. La seule donnée sûre qu’il avait provenait du registre de son portefeuille. Celui-ci indiquait la date du premier transfert de bitcoin, le 14 avril 2023. Les pirates ont alors configuré RoboForm pour qu’il génère des mots de passe de 20 caractères entre le 1er mars et le 20 avril 2013… Et ça n’a pas fonctionné. Après des jours de recherches, ils ont fini par trouver la bonne date, et enfin délivrer leurs résultats à Michael.
Grand et Bruno ont déduit un pourcentage de bitcoins du compte de Michael, puis lui ont donné le mot de passe pour accéder au reste. Michael possède désormais 30 Bitcoins, d’une valeur de 3 millions de dollars. Si vous souhaitez davantage de détails sur cette histoire, n’hésitez pas à consulter cet article de Wired ou la vidéo de Grand et Bruno.
