Sécurité

Comment les voleurs de Bitcoin ont utilisé une faille Android pour voler de l’argent, et comment cela affecte tout le monde – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Les fans de la toute jeune crypto-monnaie connue sous le nom de Bitcoin a eu un choc ces derniers jours alors que certains voleurs intelligents ont mis au point une autre méthode pour soutirer de l’argent virtuel à des utilisateurs sans méfiance. La source du vol a été attribuée à un bogue dans Android, et maintenant Google a reconnu l’existence de la faille. Non seulement cela pourrait ternir davantage la réputation de Bitcoin en tant que monnaie anonyme sécurisée, mais cela pourrait également causer des problèmes à un très grand nombre d’autres applications Android.

L’insecte

Les systèmes informatiques ont souvent besoin de nombres aléatoires, et Android ne fait pas exception. Google utilise l’architecture de cryptographie Java (JCA) depuis la version 1 de l’API lors de la sortie d’Android en 2008. Une partie de JCA est une classe connue sous le nom de SecureRandom. Vous pouvez probablement deviner ce qu’il est censé faire à partir du nom.

au hasardLorsqu’une application appelle SecureRandom, le système d’exploitation est censé générer un nombre aléatoire. Ce processus n’est sûr que si le résultat de ce processus n’est pas déterministe, du moins dans le sens pratique — s’il peut être prédit, il est inutile. SecureRandom est censé exécuter OpenSSL PRNG (générateur de nombres pseudo-aléatoires) d’Android avec une graine d’entropie de /dev/urandomun fichier racine système protégé.

Cependant, cela ne fonctionne pas correctement sur la plupart des versions d’Android. Lorsqu’une application essaie de générer un nombre aléatoire, le urandom le fichier n’est pas accessible du tout. En conséquence, il n’y a pas de graine aléatoire, ce qui rend le processus de génération défectueux dès le départ.

Psssssst :  Windows 10 pour obtenir la prise en charge des capteurs biométriques avec 'Windows Hello' - High-teK.ca

Les nombres soi-disant aléatoires générés à l’aide de la classe SecureRandom standard s’avèrent être légèrement moins aléatoires qu’ils ne devraient l’être. Les nombres générés par cet outil peuvent être répétés et sont donc prévisibles. Selon l’évaluation du problème par Google, les applications qui lisent explicitement à partir de /dev/urandom (en utilisant la fonction setSeed dans Android) ou utiliser un PRNG séparé ne sont pas affectés, mais très peu d’applications s’en soucient. Un petit nombre se donne la peine, cependant. C’est la cause première du bogue qui a entraîné le vol de Bitcoins.

Le câlin du bitcoin

CTBAlors, comment un bogue obscur dans la génération de nombres pseudo-aléatoires se traduit-il par des Bitcoins volés ? Il s’agit de clés de cryptage. Bitcoin utilise la cryptographie à clé publique/privée pour signer toutes les transactions. De nombreuses applications utilisent SecureRandom pour générer ces clés de portefeuille, mais le bogue les a amenées à réutiliser les numéros à l’occasion.

Comme quiconque s’y est déjà essayé cryptographie sait, plus vous avez d’exemples de code, plus il est facile de le casser. Les clés publiques sur les transactions Bitcoin sont faciles à scanner, ce qui est probablement ce qu’ont fait les auteurs de ce piratage. Ils ont recherché des répétitions dans les clés publiques et ont utilisé ces données pour résoudre les clés privées, qui ne devraient être connues que du propriétaire du portefeuille Bitcoin. À ce stade, l’attaquant disposait de l’adresse Bitcoin de l’utilisateur. C’était une simple question de transférer l’argent sur un autre compte.

Il est difficile de savoir combien d’argent a été volé car ce bogue existe depuis longtemps – il y a plusieurs années, des rapports ont fait état de répétitions de SecureRandom. Il est possible que certains des vols inexpliqués de Bitcoin de ces dernières années proviennent de ce problème. Tous les passionnés de Bitcoin ont pu pointer définitivement jusqu’à présent le vol de 55 Bitcoins la semaine dernière, d’une valeur de 5 720 $.

Psssssst :  Microsoft Windows 10 S n'est pas aussi sécurisé que le prétend la société - High-teK.ca

Page suivante: Le problème Android

Bouton retour en haut de la page