Comment des chercheurs ont déchiffré un mot de passe vieux de 11 ans pour un portefeuille cryptographique de 3 millions de dollars
Nous avons finalement eu la chance que nos paramètres et notre plage horaire soient corrects. Si l’un ou l’autre de ces éléments s’était trompé, nous aurions continué à faire des suppositions/photos dans le noir, déclare Grand dans un e-mail à WIRED. Il aurait fallu beaucoup plus de temps pour précalculer tous les mots de passe possibles.
Grand et Bruno ont créé une vidéo pour expliquer plus en détail les détails techniques.
RoboForm, fabriqué par la société américaine Siber Systems, a été l’un des premiers gestionnaires de mots de passe sur le marché et compte actuellement plus de 6 millions d’utilisateurs dans le monde, selon un rapport de l’entreprise. En 2015, Siber a semblé corriger le gestionnaire de mots de passe RoboForm. En un coup d’œil rapide, Grand et Bruno n’ont trouvé aucun signe indiquant que le générateur de nombres pseudo-aléatoires de la version 2015 utilisait le temps de l’ordinateur, ce qui leur fait penser qu’ils l’ont supprimé pour corriger la faille, bien que Grand affirme qu’ils devraient l’examiner davantage. à fond pour en être sûr.
Siber Systems a confirmé à WIRED avoir résolu le problème avec la version 7.9.14 de RoboForm, publiée le 10 juin 2015, mais un porte-parole n’a pas répondu aux questions sur la manière dont il a procédé. Dans un journal des modifications sur le site Web de l’entreprise, il est uniquement mentionné que les programmeurs de Siber ont apporté des modifications pour augmenter le caractère aléatoire des mots de passe générés, mais il ne précise pas comment ils ont procédé. Le porte-parole de Siber, Simon Davis, a déclaré que RoboForm 7 avait été abandonné en 2017.
Grand dit que, sans savoir comment Siber a résolu le problème, les attaquants peuvent toujours être en mesure de régénérer les mots de passe générés par les versions de RoboForm publiées avant le correctif de 2015. Il ne sait pas non plus si les versions actuelles contiennent le problème.
Je ne suis toujours pas sûr de lui faire confiance sans savoir comment ils ont réellement amélioré la génération de mots de passe dans les versions plus récentes, dit-il. Je ne sais pas si RoboForm savait à quel point cette faiblesse particulière était grave.
Il se peut également que les clients utilisent encore des mots de passe générés avec les premières versions du programme avant le correctif. Il ne semble pas que Siber ait jamais informé ses clients lors de la publication de la version corrigée 7.9.14 en 2015 qu’ils devaient générer de nouveaux mots de passe pour les comptes ou les données critiques. L’entreprise n’a pas répondu à une question à ce sujet.
Si Siber n’informait pas ses clients, cela signifierait que toute personne comme Michael qui utilisait RoboForm pour générer des mots de passe avant 2015 et qui utilise toujours ces mots de passe pourrait avoir des mots de passe vulnérables que les pirates peuvent régénérer.
Nous savons que la plupart des gens ne modifient pas leurs mots de passe à moins d’y être invités, explique Grand. Sur 935 mots de passe dans mon gestionnaire de mots de passe (pas dans RoboForm), 220 d’entre eux datent de 2015 et d’avant, et la plupart d’entre eux sont [for] sites que j’utilise encore.
Selon ce que l’entreprise a fait pour résoudre le problème en 2015, les mots de passe plus récents peuvent également être vulnérables.
En novembre dernier, Grand et Bruno ont déduit un pourcentage de bitcoins du compte de Michael pour le travail qu’ils effectuaient, puis lui ont donné le mot de passe pour accéder au reste. Le bitcoin valait à l’époque 38 000 dollars par pièce. Michael a attendu que le prix atteigne 62 000 $ par pièce et en a vendu une partie. Il possède désormais 30 BTC, d’une valeur de 3 millions de dollars, et attend que la valeur atteigne 100 000 dollars par pièce.
Michael dit qu’il a eu de la chance d’avoir perdu le mot de passe il y a des années, car sinon, il aurait vendu le bitcoin alors qu’il valait 40 000 $ la pièce et aurait raté une plus grande fortune.
Le fait que j’aie perdu le mot de passe était financièrement une bonne chose.