Une startup am�ricaine de s�curit� s'affiche comme le dernier espoir des millionnaires du bitcoin priv�s de leurs magots apr�s avoir perdu le mot de passe de leurs portefeuilles. Elle pr�tend avoir mis au point une technique permettant de d�verrouiller une cl� USB IronKey chiffr�e dont le propri�taire a oubli� le mot de passe. Ces cl�s USB sont souvent utilis�es par les propri�taires de cryptomonnaies pour stocker en toute s�curit� leurs actifs num�riques. La startup a propos� r�cemment son aide � un propri�taire d'une cl� USB IronKey verrouill�e contenant 7 002 bitcoins d'une valeur d'environ 240 milliards de dollars au prix d'�change actuel, mais ce dernier a d�clin� l'offre.

L'histoire de Stephen Thomas, un programmeur d'origine allemande vivant � San Francisco, anime les d�bats dans la communaut� des cryptomonnaies depuis quelques ann�es maintenant. Il y a plus de dix ans, Thomas aurait re�u 7 002 bitcoins en �change de sa participation � la production d'une vid�o d'animation sur la cryptomonnaie naissante. Il aurait stock� ses bitcoins sur une cl� USB hautement chiffr�e, connue sous le nom d'IronKey, et aurait not� le mot de passe sur une feuille de papier dans le but de le conserver. Le probl�me, c'est que cette feuille de papier a disparu et la cryptomonnaie est depuis lors bloqu�e dans un purgatoire num�rique.

IronKey est le nom de marque d'une famille de dispositifs de stockage portables USB chiffr�s appartenant � Kingston Digital, une entreprise de m�moire flash d�tenue par Kingston Technology Company Inc. Les IronKey sont con�us pour effacer d�finitivement leur contenu si quelqu'un essaie seulement 10 mots de passe incorrects. Le programmeur allemand a r�v�l� en 2021 avoir d�j� �puis� 8 essais, ce qui signifie qu'apr�s deux nouvelles tentatives erron�es, il perdra d�finitivement ses bitcoins et peut dire adieu � sa petite fortune pour toujours. Les 7 002 bitcoins, que Thomas dit avoir re�us en 2011, valent aujourd'hui un plus de 240 millions de dollars.

Bien que l'histoire de Thomas aime plusieurs d�bats depuis lors, elle n'a pas convaincu tout le monde. Certains critiques ont �mis quelques doutes sur les d�clarations de Thomas et pr�f�rent les prendre avec des pincettes. Toutefois, la soci�t� de donn�es Chainalysis a d�clar� que de nombreux propri�taires de bitcoins se trouvaient dans la m�me situation. Dans un rapport publi� en janvier 2021, Chainalysis indiquait qu'environ 20 % des bitcoins extraits � l'�poque - soit 18,5 millions de bitcoins qui valaient environ 643 milliards de dollars - semblaient se trouver dans des portefeuilles perdus ou verrouill�s. Certains de ses bitcoins ont pu �tre r�cup�r�s.

L'histoire de Thomas ne s'arr�te pas l� et vient de prendre une tournure �trange. Thomas a racont� sa m�saventure dans une interview accord�e au New York Times en 2021. � la m�me �poque, une �quipe de hackers et de cryptographes a form� une startup appel�e Unciphered, sp�cialis�e dans le piratage de dispositifs de stockage verrouill�s. Au d�but de l'ann�e 2023, l'�quipe a commenc� � travailler sur des dispositifs IronKey similaires � celui de Thomas, dans le cadre d'une op�ration qu'ils ont appel�e Projet Everest. Dans un article publi� mardi, Andy Greenberg de Wired a d�clar� que l'�quipe d'Unciphered lui a fourni une preuve de concept.

� Les hackers d'Unciphered avaient mis au point une technique secr�te de cassage de mot de passe IronKey - qu'ils ont toujours refus� de d�crire en d�tail � moi ou � toute autre personne ext�rieure � leur entreprise - qui leur permettait d'effectuer un nombre infini d'essais [sur les cl�s IronKey verrouill�es]. Ma cl� USB �tait arriv�e au laboratoire d'Unciphered le mardi, et j'ai �t� quelque peu surpris de voir ma phrase de passe de trois mots m'�tre renvoy�e par SMS d�s le lendemain matin. Smith [de l'�quipe d'Unciphered] m'a dit qu'avec l'aide d'un ordinateur tr�s performant, le processus n'avait pris que 200 000 milliards d'essais �, indique son rapport.

L'�quipe d'Unciphered aurait r�ussi � lire le contenu d'une cl� IronKey d�chiffr� pour la toute premi�re fois en juillet. � Nous venons d'atteindre le sommet de l'Everest �, a d�clar� Eric Michaud, PDG d'Unciphered. Depuis, l'�quipe aurait d�verrouill� des dispositifs IronKey plus d'un millier de fois - toujours de mani�re non destructive. Avec un tel taux de r�ussite, on pourrait penser que Thomas serait impatient de conclure un accord avec Unciphered et d'avoir enfin acc�s � ses bitcoins, mais ce n'est pas le cas. Le rapport indique que la soci�t� am�ricaine a contact� Thomas par l'interm�diaire d'un associ� commun, mais ce dernier a poliment refus� son aide.

L'appel n'aurait m�me pas permis de discuter de la commission ou des frais d'Unciphered avant que Thomas ne d�cline poliment l'offre. Il aurait d�clar� qu'il travaillait d�j� avec deux autres groupes d'experts sur la r�cup�ration et qu'il n'�tait pas en mesure de n�gocier avec quelqu'un d'autre pour l'instant. Pour �viter que les deux �quipes ne se fassent concurrence, il leur aurait offert � chacune une partie des recettes si l'une ou l'autre parvenait � d�verrouiller la cl�. Selon le rapport, Thomas a d�clar� : � il est possible que l'�quipe actuelle d�cide de sous-traiter � Unciphered si elle estime que c'est la meilleure option. Nous devrons attendre et voir �.

Mais m�me un an plus tard, il reste d�termin� � donner � ces �quipes plus de temps pour travailler sur le probl�me avant de faire appel � quelqu'un d'autre, m�me si aucune de ces �quipes n'a montr� le moindre signe de r�ussite dans le d�chiffrement qu'Unciphered dit avoir r�alis�. Unciphered se retrouve donc dans une situation �trange : elle d�tient ce qui est potentiellement l'un des outils de crochetage de serrure les plus pr�cieux dans le monde des cryptomonnaies, mais n'a pas de serrure � crocheter. L'attitude de Thomas suscite de nouveau des critiques et conforte les pr�c�dentes all�gations selon lesquelles il ne d�tient pas 7 200 bitcoins.

� Personne n'attend ind�finiment 240 millions de dollars, alors qu'il pourrait les avoir maintenant presque s�rement. S'il avait vraiment des �l�ments d'une telle valeur sur la cl� USB, il aurait dit � son contractant actuel de faire le n�cessaire et de passer un accord avec la nouvelle �quipe s'il le fallait, sous peine de perdre le contrat. Je soup�onne donc que la demande initiale �tait une connerie et qu'il ne s'attendait pas � ce que quelqu'un ait la possibilit� de la prouver �, a �crit un critique. Un autre pr�f�re tourner la chose en d�rision : � il est difficile de le croire. Il est possible que la cl� soit vide ou que la seule chose qu'elle contient soit un fichier autorun.inf �.

Dans les commentaires, certains s'en sont �galement pris au fabricant des cl�s USB IronKey. L'un d'entre eux a d�clar� : � je tiens simplement � souligner � quel point il est ridicule de construire un dispositif de stockage qui d�truit son contenu apr�s seulement 10 tentatives infructueuses. Le fabricant semble avoir confondu la r�alit� et la science-fiction. Les donn�es qu'ils stockent sont trop importantes pour que le propri�taire les perde aussi facilement. Il serait possible d'augmenter ce nombre � 100 sans diminuer la s�curit� de mani�re significative, mais cela donnerait au propri�taire une plus grande marge de man�uvre pour acc�der � ses donn�es �.

Selon le rapport, la cl� USB IronKey, dont le d�veloppement aurait �t� financ� en partie par le minist�re am�ricain de la S�curit� int�rieure, est certifi�e FIPS-140-2 niveau 3, ce qui signifie qu'elle est inviolable et que le chiffrement est suffisamment s�r pour �tre utilis� par les agences militaires et de renseignement pour des informations classifi�es. Unciphered n'a toujours pas r�v�l� l'int�gralit� de son processus de recherche ni les d�tails de la technique qu'elle a finalement trouv�e pour craquer les cl�s USB IronKey et vaincre son "compteur" qui limite les devinettes de mots de passe. L'entreprise �voque des risques importants pour la s�curit� nationale.

L'entreprise affirme que les vuln�rabilit�s qu'elle a d�couvertes sont dangereuses pour �tre rendues publiques, �tant donn� que le mod�le d'IronKey qu'elle a craqu� est trop vieux pour �tre corrig� par une mise � jour logicielle. � Si cela devait fuir d'une mani�re ou d'une autre, les implications pour la s�curit� nationale seraient bien plus importantes qu'un portefeuille de cryptomonnaies �, note Unciphered.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'histoire du programmeur susmentionn�e ?
Selon vous, le programmeur d�tient-il r�ellement ces 7 022 bitcoins ?
Pourquoi refuse-t-il l'aide d'une soci�t� qui veut l'aider � r�cup�rer ses bitcoins ?
Que pensez-vous des cl�s USB IronKey ? Sont-elles aussi s�curis�es que le fabricant le pr�tend ?
Que pensez-vous des critiques sur la limitation � 10 du nombre de tentatives pour d�verrouiller les cl�s USB IronKey ?
Le fabricant doit-il augmenter ce nombre ? Cette augmentation diminuera-t-elle la s�curit� du dispositif ? Pourquoi ?

Voir aussi

Des mots de passe perdus privent des millionnaires du bitcoin de leur fortune, environ 140 milliards de dollars en bitcoins seraient dans des portefeuilles perdus ou bloqu�s

Un informaticien est, depuis presque 10 ans, � la recherche d'un disque dur avec d�sormais l'�quivalent de 357 millions de $ en bitcoins, une �quipe pluridisciplinaire entre en sc�ne � sa demande

19 millions de bitcoins, sur une limite de 21 millions impos�e d�s le d�part par son cr�ateur, ont d�j� �t� min�s. Les experts pensent que le dernier bitcoin sera min� en 2140