Un ingénieur en informatique de la Michigan State University a un conseil pour les millions de propriétaires de bitcoins qui utilisent des applications de smartphone pour gérer leur crypto-monnaie: ne le faites pas. Ou du moins, soyez prudent. Les chercheurs développent une application mobile pour protéger les applications de «portefeuille» populaires mais vulnérables utilisées pour gérer la crypto-monnaie.

«De plus en plus de gens utilisent des applications de portefeuille Bitcoin sur leurs smartphones», a déclaré Guan-Hua Tu, professeur adjoint au College of Engineering de MSU qui travaille au Département d’informatique et d’ingénierie. «Mais ces applications présentent des vulnérabilités.»

Les applications de portefeuille pour smartphone facilitent l’achat et l’échange de crypto-monnaie, une monnaie numérique relativement nouvelle qui peut être difficile à comprendre de presque toutes les manières sauf une: elle est très clairement précieuse. Bitcoin était la crypto-monnaie la plus précieuse au moment de la rédaction, un bitcoin valant plus de 55000 $.

Mais Tu et son équipe découvrent des vulnérabilités qui peuvent mettre en danger l’argent et les informations personnelles d’un utilisateur. La bonne nouvelle est que l’équipe aide également les utilisateurs à mieux se protéger en les sensibilisant à ces problèmes de sécurité et en développant une application qui corrige ces vulnérabilités.

Le redresseur de sécurité Bitcoin

Les chercheurs ont présenté le Bitcoin Security Rectifier. En termes de sensibilisation, Tu souhaite aider les utilisateurs de portefeuille à comprendre que ces applications peuvent les rendre vulnérables en violant l’un des principes centraux de Bitcoin, ce que l’on appelle la décentralisation.

Le Bitcoin est une monnaie qui n’est liée à aucune banque centrale ou gouvernement. Il n’y a pas non plus de serveur informatique central qui stocke toutes les informations sur les comptes Bitcoin, telles que qui possède combien.

«Certaines applications enfreignent ce principe décentralisé», a déclaré Tu. «Les applications sont développées par des tiers. Et, ils peuvent laisser leur application de portefeuille se connecter à leur serveur propriétaire qui se connecte ensuite à Bitcoin. »

Comment fonctionne Bitcoin Security Rectifier

En substance, Bitcoin Security Rectifier peut introduire un intermédiaire que Bitcoin omet par conception. Les utilisateurs ne le savent souvent pas et les développeurs d’applications ne sont pas nécessairement disposés à fournir les informations.

«Plus de 90% des utilisateurs ne savent pas si leur portefeuille viole ce principe de conception décentralisée basé sur les résultats d’une étude utilisateur», a déclaré Tu. Et si une application enfreint ce principe, cela peut représenter un risque de sécurité énorme pour l’utilisateur. Par exemple, cela peut ouvrir la porte à un développeur d’applications peu scrupuleux de prendre simplement le bitcoin d’un utilisateur.

Tu a déclaré que le meilleur moyen pour les utilisateurs de se protéger est de ne pas utiliser une application de portefeuille pour smartphone développée par des développeurs non fiables. Il encourage plutôt les utilisateurs à gérer leur bitcoin à l’aide d’un ordinateur – pas d’un smartphone – et des ressources disponibles sur le site officiel de Bitcoin, bitcoin.org. Par exemple, le site peut aider les utilisateurs à prendre des décisions éclairées sur les applications de portefeuille.

Mais même les portefeuilles développés par des sources réputées peuvent ne pas être totalement sûrs, c’est là que la nouvelle application entre en jeu.

La plupart des programmes pour smartphone sont écrits dans un langage de programmation appelé Java. Les applications de portefeuille Bitcoin utilisent une bibliothèque de code Java connue sous le nom de bitcoinj, prononcée «bitcoin jay». La bibliothèque elle-même présente des vulnérabilités que les cybercriminels pourraient attaquer, comme l’équipe l’a démontré dans son récent article.

Ces attaques peuvent avoir diverses conséquences, y compris la compromission des informations personnelles d’un utilisateur. Par exemple, ils peuvent aider un attaquant à déduire toutes les adresses Bitcoin que les utilisateurs de portefeuille ont utilisées pour envoyer ou recevoir du Bitcoin. Les attaques peuvent également envoyer des tonnes de données indésirables à un utilisateur, épuiser les batteries et potentiellement entraîner de lourdes factures de téléphone.

L’application s’exécute en même temps sur le même téléphone qu’un portefeuille

L’application de Tu est conçue pour fonctionner en même temps sur le même téléphone qu’un portefeuille, où elle surveille les signes de telles intrusions. L’application alerte les utilisateurs lorsqu’une attaque se produit et fournit des solutions en fonction du type d’attaque, a déclaré Tu. Par exemple, l’application peut ajouter du «bruit» aux messages Bitcoin sortants pour empêcher un voleur d’obtenir des informations précises.

«Le but est que vous puissiez télécharger notre outil et être à l’abri de ces attaques», a déclaré Tu.

L’équipe développe actuellement l’application pour les téléphones Android et prévoit de la télécharger sur l’App Store de Google Play dans les mois à venir. Il n’y a actuellement aucun calendrier pour une application iPhone en raison des défis et restrictions supplémentaires posés par iOS, a déclaré Tu.

Dans l’intervalle, cependant, Tu a souligné que le meilleur moyen pour les utilisateurs de se protéger des insécurités d’un portefeuille bitcoin pour smartphone est simplement de ne pas en utiliser un, à moins que le développeur ne soit digne de confiance.

«La principale chose que je souhaite partager, c’est que si vous ne connaissez pas bien les applications de votre portefeuille pour smartphone, il vaut mieux ne pas les utiliser car tout développeur – malveillant ou bénin – peut télécharger ses applications de portefeuille sur Google Play ou Apple App Store,  » il a dit.