Un ingénieur en informatique de la Michigan State University a un conseil pour les millions de propriétaires de bitcoins qui utilisent des applications de smartphone pour gérer leur crypto-monnaie: ne le faites pas. Ou du moins, soyez prudent. Des chercheurs de MSU développent une application mobile qui servira de protection aux applications de «portefeuille» populaires mais vulnérables utilisées pour gérer la crypto-monnaie.
« De plus en plus de personnes utilisent des applications de portefeuille Bitcoin sur leurs smartphones », a déclaré Guan-Hua Tu, professeur adjoint au College of Engineering de MSU qui travaille au Département d’informatique et d’ingénierie. « Mais ces applications ont des vulnérabilités. »
Les applications de portefeuille pour smartphone facilitent l’achat et l’échange de crypto-monnaie, une monnaie numérique relativement nouvelle qui peut être difficile à comprendre de presque toutes les manières sauf une: elle est très clairement précieuse. Bitcoin était la crypto-monnaie la plus précieuse au moment de la rédaction de cet article, un bitcoin valant plus de 55000 $.
Mais Tu et son équipe découvrent des vulnérabilités qui peuvent mettre en danger l’argent et les informations personnelles d’un utilisateur. La bonne nouvelle est que l’équipe aide également les utilisateurs à mieux se protéger en les sensibilisant à ces problèmes de sécurité et en développant une application qui corrige ces vulnérabilités.
Les chercheurs ont présenté cette application – le Bitcoin Security Rectifier – dans un article publié pour la conférence de l’Association for Computing Machinery sur la sécurité et la confidentialité des données et des applications. En termes de sensibilisation, Tu souhaite aider les utilisateurs de portefeuille à comprendre que ces applications peuvent les rendre vulnérables en violant l’un des principes centraux de Bitcoin, ce que l’on appelle la décentralisation.
Le Bitcoin est une monnaie qui n’est liée à aucune banque centrale ou gouvernement. Il n’y a pas non plus de serveur informatique central qui stocke toutes les informations sur les comptes Bitcoin, telles que qui possède combien.
« Certaines applications enfreignent ce principe décentralisé », a déclaré Tu. « Les applications sont développées par des tiers. Et, ils peuvent laisser leur application de portefeuille se connecter à leur serveur propriétaire qui se connecte ensuite à Bitcoin. »
En substance, Bitcoin Security Rectifier peut introduire un intermédiaire que Bitcoin omet par conception. Les utilisateurs ne le savent souvent pas et les développeurs d’applications ne sont pas nécessairement prêts à fournir les informations.
« Plus de 90% des utilisateurs ne savent pas si leur portefeuille viole ce principe de conception décentralisée basé sur les résultats d’une étude utilisateur », a déclaré Tu. Et si une application enfreint ce principe, cela peut représenter un risque de sécurité énorme pour l’utilisateur. Par exemple, cela peut ouvrir la porte à un développeur d’applications peu scrupuleux de prendre simplement le bitcoin d’un utilisateur.
Tu a déclaré que le meilleur moyen pour les utilisateurs de se protéger est de ne pas utiliser une application de portefeuille pour smartphone développée par des développeurs non fiables. Il encourage plutôt les utilisateurs à gérer leur bitcoin à l’aide d’un ordinateur – pas d’un smartphone – et des ressources disponibles sur le site officiel de Bitcoin, bitcoin.org. Par exemple, le site peut aider les utilisateurs à prendre des décisions éclairées sur les applications de portefeuille.
Mais même les portefeuilles développés par des sources réputées peuvent ne pas être totalement sûrs, c’est là que la nouvelle application entre en jeu.
La plupart des programmes pour smartphone sont écrits dans un langage de programmation appelé Java. Les applications de portefeuille Bitcoin utilisent une bibliothèque de code Java connue sous le nom de bitcoinj, prononcée «bitcoin jay». La bibliothèque elle-même présente des vulnérabilités que les cybercriminels pourraient attaquer, comme l’équipe l’a démontré dans son récent article.
Ces attaques peuvent avoir diverses conséquences, y compris la compromission des informations personnelles d’un utilisateur. Par exemple, ils peuvent aider un attaquant à déduire toutes les adresses Bitcoin que les utilisateurs de portefeuille ont utilisées pour envoyer ou recevoir du Bitcoin. Les attaques peuvent également envoyer des tonnes de données indésirables à un utilisateur, épuiser les batteries et potentiellement entraîner de lourdes factures de téléphone.
L’application de Tu est conçue pour fonctionner en même temps sur le même téléphone qu’un portefeuille, où elle surveille les signes de telles intrusions. L’application alerte les utilisateurs lorsqu’une attaque se produit et fournit des solutions en fonction du type d’attaque, a déclaré Tu. Par exemple, l’application peut ajouter du «bruit» aux messages Bitcoin sortants pour empêcher un voleur d’obtenir des informations précises.
« Le but est que vous puissiez télécharger notre outil et être à l’abri de ces attaques », a déclaré Tu.
L’équipe développe actuellement l’application pour les téléphones Android et prévoit de la télécharger sur l’App Store de Google Play dans les mois à venir. Il n’y a actuellement aucun calendrier pour une application iPhone en raison des défis et restrictions supplémentaires posés par iOS, a déclaré Tu.
Dans l’intervalle, cependant, Tu a souligné que le meilleur moyen pour les utilisateurs de se protéger des insécurités d’un portefeuille bitcoin pour smartphone est simplement de ne pas en utiliser un, à moins que le développeur ne soit digne de confiance.
« La principale chose que je souhaite partager, c’est que si vous ne connaissez pas bien les applications de votre portefeuille pour smartphone, il vaut mieux ne pas les utiliser car tout développeur – malveillant ou bénin – peut télécharger ses applications de portefeuille sur Google Play ou Apple App Store », dit-il.
###
Le professeur Li Xiao de MSU ainsi qu’un doctorat ont également collaboré à ce projet. les étudiants Yiwen Hu et Sihan Wang, tous du Département d’informatique et d’ingénierie. Ce travail a été financé en partie par la National Science Foundation.
Avertissement: AAAS et EurekAlert! ne sont pas responsables de l’exactitude des communiqués de presse publiés sur EurekAlert! par les institutions contributrices ou pour l’utilisation de toute information via le système EurekAlert.
.