Celui qui n’aurait pas dû faire autant confiance (1/3)
Les plateformes d'échange de crypto-monnaies sont des cibles bien juteuses pour les hackers malveillants.
Bonsoir,
Voici, tout frais servi, votre nouvel épisode de Pwned. Si vous n’êtes pas encore inscrit à la newsletter, voici le lien.
Alors on a beaucoup parlé de l’affaire Alexander Vinnik ces dernières semaines. Ce soir (et avec une semaine de retard, désolé), on va passer à un autre dossier qui m’a beaucoup occupé ces deux dernières années.
Il s’agit de celui du piratage de la plateforme d’échanges de crypto-monnaies Gatehub, une sorte de place de marché qui permet de vendre et d’acheter des crypto-actifs.
Cette affaire, je vous en parle car je trouve qu’elle est assez structurante pour la justice française. D’abord, c’est l’un des plus gros vols de crypto suivi dans l’Hexagone. L’affaire Gatehub a été également à l’origine d’au moins une première dont je vous parlerai plus tard. Enfin, l’issue de ce dossier s’annonce déjà comme assez paradoxale, là aussi, je ne vous en dis pas plus pour le moment (oui c’est du teasing).
Bon mais tout d’abord, c’est quoi, Gatehub? Avant d’en parler, il faut d’abord faire un détour par le Ripple. Au départ, c’est un projet de système monétaire décentralisé permettant de créer sa propre monnaie. C’est finalement devenu un réseau de paiement avec sa propre monnaie (les XRP) poussé par le créateur de Mt.Gox. C’est désormais une alternative à la messagerie interbancaire Swift.
Il y a un jeune slovène, Enej Pungerčar, qui s’intéresse de près à tout ça au début des années 2010. Entre deux retweets de Bill Gates ou de la Nasa, l’étudiant en architecture se passionne pour le bitcoin et l’univers des crypto-monnaies. On le retrouve d’abord comme l’un des développeurs de Bitstamp, une première plateforme d’échange de crypto-monnaies, lancée par deux autres slovènes.
Puis en juin 2015, à Londres, il lance sa propre plateforme, Gatehub, après avoir levé 28 millions de dollars. Gatehub, qui s’appuie sur le Ripple, offre en gros deux services: c’est un portefeuille de crypto-actifs, on peut payer des choses avec en crypto-monnaie. Et c’est aussi une place de marché, on peut acheter et vendre des cryptos.
Quatre ans plus tard, Ann - on va continuer de l’appeler ainsi, mais c’est un prénom d’emprunt -, fait partie des utilisateurs qui ont misé sur Gatehub. Cette quinquagénaire américaine, qui vit en Floride, a investi petit à petit depuis trois ans dans les XRP, rassurée par l’investissement de Google dans Ripple Labs, la société à l’origine de Ripple.
Quand elle a commencé, le cours était de 0,006 dollar. Pour cette agent d’assurances un peu fauchée, le XRP est enfin l’opportunité de se refaire. Le 31 mai 2019, le XRP est à un cours de 0,378 euro.
Le lendemain, Ann fait une cure de désintox numérique, c’est son anniversaire. Le jour d’après, elle se reconnecte à son compte Gatehub et s’étrangle. Ses fonds ont été siphonnés. Selon son décompte, elle a perdu l’équivalent de 70 000 dollars.
Gatehub vient en fait d’être victime d’un hack gravissime. L’entreprise fait d’abord état de 103 portefeuilles vidés, sans mentionner d’ordre de grandeur des sommes volées. La société d’investigations XRP Forensics se fait bien plus précise: il y aurait, explique-t-elle, plus de 200 victimes, pour un préjudice de 25 millions d’XRP, soit environ 10 millions d’euros au cours d’alors.
Une grosse parenthèse svp. Il y a un paradoxe intéressant à décortiquer. L’un des arguments des monnaies numériques s’appuyant sur des chaînes de blocs décentralisées, c’est qu’elles suppriment un intermédiaire gênant, les banques.
Pour faire vite, il y a en gros deux moyens de détenir des cryptos. Vous pouvez les détenir vous-mêmes, mais attention, ça demande quand même un peu de savoir-faire. Et un jour vous pourriez vous retrouver dans une décharge pour retrouver l’accès à votre wallet.
Il y a quelques années, j’ai voulu acheter ma première fraction de bitcoin. J’avais bien potassé le sujet: installer un gestionnaire de mot de passe pour sécuriser ma phrase de passe dans un conteneur chiffré, bien vérifier la sécurité de ma machine, etc. Mais il se trouve que mon vendeur de bitcoin était en Allemagne. Or à l’époque ma banque bloquait les virements extérieurs à la France. Du coup j’ai laissé tomber et je suis aujourd’hui sur une plateforme d’échange.
Voilà, en fait ce n’est pas si simple que ça de se passer d’un intermédiaire. C’est pour cela qu’il y a des sites comme Gatehub. C’est beaucoup simple. Il suffit de s’inscrire, transférer des fonds, et vous pouvez acheter autant de cryptos que vous voulez. Mais évidemment il y a un gros mais, la sécurité. Ces plateformes sont des cibles juteuses. C’est assez simple à comprendre.
En décembre, la plateforme de trading crypto Bitmart s’est par exemple fait déplumer de près de 200 millions de dollars. Comme le rapporte NBC News, il y a eu l’an dernier plus de vingt piratages de site d’échange se soldant par un butin supérieur à un équivalent de dix millions de dollars. Alors qu’en moyenne, les vols de banques physiques ont rapporté en 2020 moins de 5 000 dollars par braquage, selon les statistiques du FBI.
Il y a près de trois ans, il y a donc au moins un hacker qui a compris que Gatehub était une poire bien mûre. Et qu’elle était bonne à prendre, et qu’importe si au passage il y avait des victimes qui y laissaient des plumes.
Et ce hacker, je vous le donne en mille, c’est pour cela que la justice française suit le dossier, c’est peut-être bien un gars de chez nous. On en reparle la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Satoshi Beer - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
La fiche Wikipedia de Jed McCaleb
Transferts d'argent : Ripple, grand rival de Swift, lève 200 millions de dollars
Le profil Linkedin d’Enej Pungerčar
GateHub Announces Ripple Gateway as a Service
Ils ont été victimes du plus gros cybercasse suivi par la justice française : voici leur récit
GateHub update, investigation continues
Overview of the “Gatehub hack”
Not Your Keys, Not Your Coins? Whatever
Half a Billion in Bitcoin, Lost in the Dump
Hackers take $196 million from crypto exchange Bitmart, security firm says