Pourquoi il ne faut jamais oublier le mot de passe d’un portefeuille Bitcoin
Pour cause d’oubli du mot de passe, des milliards de dollars se perdent dans des portefeuilles Bitcoin verrouillés.
Imaginez que vous ayez des millions de dollars en bitcoins, mais que vous ne puissiez pas y accéder. C’est la réalité pour un nombre croissant de personnes, qui n’ont pas accès à leur portefeuille Bitcoin du fait qu’elles ont oublié leur mot de passe. Résultat : on estime que 140 G$ US sont coincés dans des cryptoportefeuilles. Et comme le bitcoin est une monnaie décentralisée, on ne peut appeler personne à l’aide quand on oublie son code d’accès. Que faire, alors?
PIRATAGE DU MOT DE PASSE?
Ben Carmitchel, grand patron de Datarecovery.com Inc., une des premières entreprises spécialisées en récupération de données dans le monde, explique que sa société recevait auparavant une demande par mois pour débloquer un portefeuille de bitcoins. Maintenant, c’est une ou deux par jour! À mesure que la valeur du bitcoin augmente – elle dépasse aujourd’hui 70 000 $ –, le nombre de personnes désireuses d’accéder à des unités qu’elles ont achetées il y a des années augmente également. Mais cette technologie est tellement protégée, rappelle-t-il, qu’on s’en mord les doigts quand on a oublié son mot de passe.
« Les gens pensent qu’ils se rappelleront leur mot de passe, mais au bout de 10 ans, ce n’est pas le cas. »
Il en coûte 500 $ par jour de puissance informatique pour tenter de trouver un seul mot de passe, mentionne M. Carmitchel, qui précise que Datarecovery.com utilise une multitude de techniques de piratage pour récupérer des codes secrets. Si un client a oublié plusieurs mots de passe, la facture grimpe inexorablement.
Les mots de passe peuvent avoir été créés par le propriétaire du compte ou générés par un ordinateur. Sans surprise, les mots de passe générés par l’humain ont plus de chances d’être trouvés, explique M. Carmitchel. Celui-ci commence d’ailleurs par demander au client le plus d’informations possible afin de cerner des modèles. Par exemple, le client peut avoir tendance à utiliser une majuscule ou un certain symbole lorsqu’il crée des mots de passe. « Cette approche a l’air simpliste, mais elle permet d’éliminer des millions de combinaisons », dit-il. Un exemple? Il lui a fallu une semaine pour découvrir un mot de passe créé en « leet speak », c’est-à-dire une combinaison de caractères et symboles utilisés à la place de lettres (p. ex. un 5 pour un S, ou un 3 pour un E). Il y est parvenu en exploitant un algorithme d’appariement de chaînes de caractères, grâce auquel toutes les occurrences d’un motif donné peuvent être recensées.
Si le mot de passe a été généré par un ordinateur, par exemple avec l’outil BIP39 (qui crée un mot de passe de 22 mots), les chances de trouver la bonne combinaison sont plutôt minces. Datarecovery.com réussit à trouver le mot de passe dans environ 80 % des cas, précise M. Carmitchel. Reste que 20 % demeurent irrécupérables, même au moyen d’une « attaque par force brute », une méthode qui consiste à essayer systématiquement et successivement toutes les combinaisons possibles – le modus operandi de bien des pirates informatiques.
IMPLICATION D’UN TIERS?
« La technologie de la chaîne de blocs est si récente que nous essayons encore d’en comprendre les arcanes », explique Jennifer Fiddian-Green, CPA, qui dirige les services de juricomptabilité et de règlement des litiges chez Grant Thornton, ainsi que leurs services axés sur la lutte contre le blanchiment d’argent. « La grande force de la technologie “blockchain”, c’est son côté sécuritaire. Ce n’est pas comme la banque, où il suffit de prendre contact avec quelqu’un pour prouver son identité puis puiser dans ses épargnes. »
Au vu de ces niveaux de sécurité et de risque, Mme Fiddian-Green constate que les gens ont recours à des tiers tels que des bourses de cryptomonnaies pour le stockage de leurs avoirs en cryptos. Toutefois, ces intermédiaires constituent une industrie naissante qui n’offre pas forcément le même type de protection générale que les banques classiques. En 2020, au moins 75 bourses de ce type ont fermé boutique, laissant des épargnants sans accès à leurs avoirs.
« Dans le monde bancaire, ce n’est pas le genre de chose qui se produirait facilement. Nous avons heureusement des mesures de protection et une réglementation », poursuit Mme Fiddian-Green, qui travaille avec ces bourses au Canada et à l’étranger pour bâtir et sécuriser des systèmes assurant la transparence des opérations et une meilleure protection des clients.
Les failles de sécurité sont un autre problème potentiel, ajoute Michael Wong, CPA, directeur de projets, Recherche, orientation et soutien, à CPA Canada. « Des gens confient leur clé privée à des bourses de cryptomonnaies, leur donnant ainsi accès à leur portefeuille de bitcoins. Or, des acteurs malveillants peuvent exploiter les vulnérabilités des systèmes informatiques de ces bourses pour déjouer les pare-feu et d’autres mesures de sécurité et voler les bitcoins des clients. »
Bien que ces bourses soient une façon commode d’échanger des cryptomonnaies, M. Wong croit que pour conserver ses bitcoins en sécurité, on devrait garder le mot de passe d’un portefeuille numérique ailleurs qu’en ligne. Une des façons de procéder est d’utiliser un portefeuille matériel; une autre consiste à sauvegarder ce mot de passe sur une clé USB qui ne sera jamais en contact avec Internet, ou encore sur un bout de papier gardé en lieu sûr.
« Grâce à ces méthodes, le seul moyen d’accéder à vos bitcoins est d’avoir un accès physique au mot de passe », explique M. Wong.
CÔTÉ SÉCURITÉ, QUE NOUS RÉSERVE L’AVENIR?
La bonne nouvelle, c’est qu’avec les progrès de la technologie, nous pourrons peut-être récupérer ces mots de passe oubliés en déjouant le cryptage, dit M. Wong.
« Grâce à l’informatique quantique, la puissance informatique devrait croître de façon exponentielle, nous dit-on à propos de cette technologie de l’avenir. Là où il faudrait des millions d’années à un ordinateur actuel pour déchiffrer des données, un ordinateur quantique pourrait le faire en une journée. » L’ordre de grandeur pourrait varier, dit M. Wong, mais les experts s’entendent sur le fait que l’informatique quantique sera largement supérieure à la puissance des ordinateurs classiques actuels. « Cette évolution va changer le paradigme de la cryptographie en général, soutient-il, ce qui aura une incidence sur les chaînes de blocs et tout ce qui repose sur le chiffrement de données. » Mais nul besoin de s’inquiéter, ajoute M. Wong, car des experts sont déjà en train d’élaborer des techniques de cryptographie visant à sécuriser les données, notamment les bitcoins, à l’ère de l’informatique quantique.
Que vous choisissiez de gérer votre code secret au moyen d’un gestionnaire de mots de passe, de l’imprimer et de le placer dans un coffre-fort ou de le confier à un tiers, le comptable rappelle aux utilisateurs de faire preuve de responsabilité. « Traitez-le comme vous traiteriez n’importe quel autre mot de passe donnant accès à des actifs financiers. C’est loin d’être un élément d’information quelconque : ne le laissez pas traîner et assurez-vous de pouvoir le trouver facilement. »
COMPTABILITÉ ET CRYPTOMONNAIES
Les chaînes de blocs et les cryptoactifs pourraient avoir une incidence sur le travail des CPA et leur rôle dans l’avenir. Bon à savoir : des publications de CPA Canada peuvent vous aider à mieux comprendre les exigences de présentation de l’information financière liée aux cryptomonnaies ainsi que certains des défis que devront peut-être relever les entreprises désireuses de passer aux cryptoactifs.