Deux hackers sont parvenus à retrouver le mot de passe d'un portefeuille virtuel contenant des Bitcoin avec une méthode surprenante. Ils ont virtuellement voyagé dans le temps.

En 2013, un européen qui se fait appeler Michael (il tient à rester anonyme) est l'heureux propriétaire de 43,6 Bitcoin. À cette époque, cela représente la somme de 4 000 € environ. Suffisant pour que l'homme cherche à protéger ses cryptomonnaies. Pour cela, il choisit de stocker le tout dans un portefeuille virtuel donc l'accès ne peut évidemment se faire qu'en entrant un mot de passe. Afin de s'assurer que ce dernier soit suffisamment solide, il se sert du gestionnaire RoboForm pour en générer un de 20 caractères de long.

Une fois cela fait, pas question de s'en souvenir en le recopiant sur une note adhésive. Déjà, il ne l'enregistre pas dans RoboForm, de peur que des pirates parviennent à accéder au “coffre-fort” et à le récupérer. Sa solution est de placer le mot de passe dans un fichier qu'il chiffre via l'utilitaire TrueCrypt. Le temps passe, et par un coup du sort, le fichier en question se corrompt. Michael ne peut plus accéder au sésame nécessaire à l'ouverture de son portefeuille de Bitcoin. Sa frustration monte en même temps que le cours de la monnaie virtuelle.

11 ans après sa création, deux hackers ouvrent un portefeuille rempli de Bitcoin en remontant le temps

Incapable de renoncer à cette fortune potentielle, Michael contacte Joe Grand en 2022 et lui demande de l'aide. Ce nom ne vous dit peut-être rien, pourtant Grand est un hacker renommé que ses pairs surnomment Kingpin (le caïd). Ingénieur en électricité de formation, il s'est spécialisé dans le piratage de hardwares (PC, clé USB, disque dur…) et notamment ceux qui contiennent des cryptomonnaies. Il a par exemple aidé une personne à accéder aux 1,84 million d'euros bloqués sur un portefeuille de marque Trazer.

Lire aussi – Les pirates ont volé 2 milliards de dollars en cryptomonnaies en 2023, mais il y a une bonne nouvelle

Mais Michael a opté pour une solution logicielle. Joe Grand pense d'abord à créer un script qui essaierait des mots de passe en boucle jusqu'à trouver le bon, mais se ravise en estimant que ça ne fonctionnerait pas. Il se dit aussi que le gestionnaire de mot de passe RoboForm, utilisé pour créer celui qui verrouille le portefeuille, pourrait comporter une faille permettant de réduire les possibilités. Il écarte cependant l'idée, doutant de l'existence d'une telle vulnérabilité, et finit par refuser d'intervenir.

Michael contacte alors d'autres entreprises spécialisées, qui refusent également en expliquant qu'il n'y a aucune chance de récupérer l'accès aux Bitcoin. Qu'à cela ne tienne, il retente sa chance auprès de Joe Grand en juin 2023 et cette fois, le hacker accepte. Il contacte un ami, Bruno, et tous les deux commencent à travailler.

Ils passent 7 mois à analyser la version de RoboForm que Michael a utilisé en 2013 et trouvent qu'il y a bien une faille majeure finalement : la génération aléatoire du mot de passe ne l'est pas tant que ça. Le programme se sert en effet de la date et l'heure de l'ordinateur sur lequel il est installé pour générer la combinaison de caractères.

Grâce à une faille d'un gestionnaire de mot de passe, les hackers retrouvent celui qui verrouille un portefeuille de cryptomonnaie

Cette découverte est du pain béni pour Grand et son acolyte. S'ils arrivent à savoir quand Michael a créé son mot de passe avec RoboForm et avec quels critères (lettres, chiffres, majuscules, minuscules…), ils pourront faire croire au logiciel qu'il est en 2013 et lui faire générer des sésames de cette époque. Ne restera plus qu'à les essayer un par un, ce qui prendra bien moins de temps que d'y aller complètement au hasard.

Lire aussi – Il pourrait gagner 225 millions d’euros grâce une clé USB mais n’est pas spécialement pressé

Après de multiples essais sur une période allant du 20 avril au 1er juin 2013 (Michael ne se souvenait pas de la date exacte), les hackers trouvent enfin le bon mot de passe. Il a été créé le 15 mai 2013 à 18h10 et 40 secondes heure française, c'est précis. Après prélèvement d'une commission, l'accès aux Bitcoin a été rendu à leur propriétaire pour son plus grand bonheur. Il en a revendu quelques uns pour 62 000 dollars l'unité et il lui en reste aujourd'hui 30. Il les revendra quand leur valeur aura atteint les 100 000 dollars. Sa retraite dorée est assurée.

Source : Wired