L'ingénieur américain Joe Grand et son ami Bruno ont découvert une faille dans une ancienne version du gestionnaire de mots de passe RoboForm, leur permettant de récupérer 3 millions de dollars en BTC.

Le pirate informatique et ingénieur Joe Grand et son ami, le pirate logiciel Bruno, ont trouvé une faille dans une ancienne version du gestionnaire de mots de passe RoboForm, leur permettant de récupérer des millions de Bitcoin.

Dans une vidéo YouTube publiée le 28 mai, Grand a expliqué qu'en 2022, il avait été contacté par Michael, un propriétaire européen de crypto qui avait demandé son aide pour récupérer des millions de Bitcoin, bloqués sur son ordinateur alors qu'il avait perdu l'accès à son mot de passe à 20 caractères. généré par RoboForm et stocké dans un fichier crypté TrueCrypt.

Grand et Bruno ont passé des mois à procéder à la rétro-ingénierie de la version de RoboForm utilisée par Michael en 2013, lorsqu'il a créé le mot de passe de son portefeuille Bitcoin.

Ils ont tous deux fini par découvrir que l’une des anciennes versions de RoboForm présentait une faille dans la manière dont le logiciel générait les mots de passe, les rendant prévisibles en fonction de la date et de l’heure de l’ordinateur. Heureusement pour Michael, son mot de passe avait été généré bien avant que RoboForm ne corrige le bug.

Vous pourriez également aimer : Unciphered découvre une vulnérabilité de 1 milliard de dollars dans les portefeuilles cryptographiques créés par BitcoinJS

Le journaliste d’investigation Kim Zetter a noté dans un article publié sur X que « si l’un des 6 millions d’utilisateurs actuels de RoboForm utilise des mots de passe générés par la version de RoboForm antérieure à 2015, avant que l’entreprise ne corrige silencieusement la faille, il se peut qu’ils aient des mots de passe qui peuvent être déchiffrés de la même manière ». Au moment de la mise sous presse, RoboForm n’avait fait aucune déclaration publique à ce sujet.

Cela signifie que si l'un des 6 millions d'utilisateurs actuels de RoboForm utilise des mots de passe générés par le gestionnaire de mots de passe @roboform avant 2015, avant que la société ne corrige silencieusement la faille, il peut avoir des mots de passe qui peuvent être déchiffrés de la même manière.

– Kim Zetter (@KimZetter) 28 mai 2024

Après avoir généré des millions de mots de passe en fonction de la période pendant laquelle Michael aurait créé son mot de passe, les deux hommes ont commencé à utiliser la force brute pour trouver celui qui donnerait accès au portefeuille de Michael. Après avoir affiné leur approche, Grand et Bruno ont réussi à découvrir le mot de passe, créé le 15 mai 2013 à 16h10:40 GMT, débloquant ainsi les 43,6 BTC de Michael, d'une valeur actuelle d'environ 3 millions de dollars.

Fondateur de Grand Idea Studio, Joe Grand est un ingénieur électricien, inventeur et hacker de matériel informatique, surtout connu dans la communauté crypto pour avoir piraté un portefeuille Trezor One en 2022 afin d'aider son propriétaire à récupérer 2 millions de dollars en BTC. Grand, qui se fait appeler « Kingpin », a une carrière prestigieuse dans le piratage de matériel informatique et continue de conseiller les entreprises pour améliorer leur sécurité numérique.

Lire la suite : Un compte Trezor X compromis par des pirates informatiques qui diffusent un faux jeton Solana