BitMEX révèle la faiblesse du “brainwallet” issu de la culture populaire

Partager l’article
EN BREF
  • Une étude BitMEX a montré la faiblesse de la création de soi-disant "brainwallet" en utilisant des références culturelles populaires.

  • Huit portefeuilles Bitcoin créés à partir de paroles, de citations de livres et d'autres sources publiées ont pris entre moins d'une seconde et quelques heures à être balayés.

  • Il semble que des acteurs malveillants utilisent une base de données de références à la culture pop pour deviner rapidement les clés privées et drainer les fonds

The Trust Project est un consortium international d'organismes de presse basé sur des normes de transparence.

Bien qu’il soit présenté comme un moyen sûr pour les particuliers de stocker Bitcoin, BitMEX Research a montré la faiblesse de s’appuyer sur les soi-disant «brainwallets».



Il conclut que la dérivation de clés privées à partir de phrases “haschées” basée sur des références de culture populaire ne convient pas pour un stockage sécurisé. Parmi eux se trouvaient le livre blanc Bitcoin, la littérature classique et les paroles de chansons populaires.

Les «brainwallets» de la culture pop balayés en quelques secondes

Une qualité très appréciée de Bitcoin est son inconfiscabilité. Ceux qui défendent la monnaie numérique affirment souvent qu’un utilisateur ne peut utiliser rien de plus que son propre esprit pour stocker la crypto-monnaie d’une manière qui ne donne aucun indice sur la propriété de BTC.



Le simple fait de se souvenir d’une clé privée, d’une phrase de départ mnémonique ou de données pour dériver une clé privée à l’aide de son esprit seul est connu sous le nom de brainwallet. De nombreux partisans du Bitcoin estiment qu’une telle méthode de stockage peut fournir une sécurité financière aux personnes vulnérables du monde entier, en particulier aux réfugiés.

Le problème, cependant, est qu’une clé privée (essentiellement une longue chaîne de lettres et de chiffres) n’est pas le genre de chose dont les humains sont capables de se souvenir. Une phrase de départ (liste de 12 ou 24 mots aléatoires) est un peu plus facile mais toujours pas parfaite. Écrire la clé ou la phrase ou la stocker numériquement présente un risque de confiscation.

Une solution potentielle consiste à dériver une clé privée à partir d’un texte existant. Une chanson préférée ou une introduction à une œuvre de fiction populaire, lorsqu’elle est hashée à l’aide de SHA-256, fournit ce qui, à première vue, peut sembler être une clé privée forte.

Lorsqu’un individu a besoin d’utiliser son Bitcoin, il peut à nouveau hasher le texte, trouver sa clé privée et effectuer une transaction. Cependant, une étude de BitMEX Research a montré que les clés privées formées de cette manière sont en réalité incroyablement faibles.

Dans un cas, il a fallu environ deux tiers de seconde pour extraire des fonds d’un brainwallet dérivé d’une œuvre de fiction populaire.

Appelez-moi Ishmael

8 brainwallets Bitcoin ont été créés, en utilisant des mots de passe d’œuvres de fiction populaires. Tous les fonds ont été rapidement emportés et dans un cas, les fonds ont été pris en 0,67 seconde

Si vous devez utiliser un brainwallet, ne choisissez rien de poétique

Des acteurs malveillants anticipent les clés privées de la culture pop

L’étude de BitMEX impliquait la création de huit clés privées Bitcoin. Chacun a utilisé le hashage d’une référence de culture populaire pour arriver à sa clé privée.

Le chercheur a formé les portefeuilles en utilisant des hashages tels que Moby Dick de Herman Melville, les paroles du refrain de «Blowin’ in the Wind »de Bob Dylan, un passage de la Bible et même une citation du livre blanc de BTC.

Chacun des portefeuilles a reçu 0,005 BTC pour tester sa sécurité. Tous les fonds ont rapidement disparu.

La plus faible des clés privées a été dérivée du début de Moby Dick. Le hashage de la célèbre ligne d’ouverture «Call me Ishmael» n’a pris que 0,67 seconde à balayer.

Deux autres portefeuilles ont également été vidés avant même que la blockchain ne confirme la transaction de dépôt. Les cinq portefeuilles restants ont mis moins d’une journée à se vider.

L’analyse a montré que les transactions balayant les portefeuilles utilisaient des frais très élevés par rapport au coût moyen des transactions. Le chercheur a suggéré que quiconque était derrière le balayage était au courant que d’autres hackers tentaient de prendre les fonds en utilisant des méthodes similaires. Ils ont donc augmenté leurs propres frais pour garantir le succès de leur transaction.

La rapidité avec laquelle les fonds ont disparu des brainwallets suggère l’existence de serveurs analysant constamment le réseau à la recherche de portefeuilles faibles.

Le chercheur explique que les auteurs de l’attaque s’appuient sur une vaste liste de clés privées dérivées de la culture populaire stockées dans une base de données. Il s’agit alors simplement de les tester par rapport aux portefeuilles apparaissant dans le pool de mémoire de transaction Bitcoin.

Les brainwallets sont-ils inutiles?

L’étude BitMEX conclut que l’utilisation de texte non modifié issu de la culture populaire est une très mauvaise méthode de génération d’une clé privée. Cependant, il cite une expérience similaire qui n’a pas entraîné de perte de fonds.

Les portefeuilles avec des clés privées dérivées de romans à succès utilisant «un modèle raisonnablement évident» ne sont pas balayés plus d’un an après leur création.

Le chercheur identifie que la différence entre les deux expériences est que la plus récente a utilisé du «texte non modifié» tiré de livres. Cependant, ils déclarent qu’une telle méthode ne doit toujours pas être considérée comme absolument sûre.

Cela dit, l’introduction d’une aléatoire supplémentaire, lorsqu’elle est employée par une personne ayant une solide compréhension des risques et du fonctionnement des hackeurs, peut permettre la création d’un brainwallet sécurisé dérivé de références à la culture pop.

Les combinaisons de sources de texte, utilisées avec des données personnelles telles que les dates de naissance et des caractères aléatoires supplémentaires, pourraient créer un portefeuille sécurisé.

Le chercheur conclut:

… Si vous devez utiliser un brainwallet, sur la base des données de ce rapport, ne choisissez rien de simple ou de poétique. Je l’ai appris à mes dépends. 

Avis de non-responsabilité

Toutes les informations présentes sur notre site web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action entreprise par le lecteur sur la base des informations trouvées sur notre site web est entièrement à ses propres risques.
Share Article

A former professional gambler, Rick first found Bitcoin in 2013 whilst researching alternative payment methods to use at online casinos. Having concluded that the root of most of the world’s evils stem from a toxic financial system during his time reading International Politics at university, the disruptive potential of a decentralised, borderless asset was immediately clear. After transitioning to writing full-time in 2016, Rick was able to put his passion for Bitcoin to work for him professionally. He has since written for a number of digital asset publications in a variety of capacities.

SUIVRE CET AUTEUR