BTC
$0.00
0.00%
Je n'aurais jamais pensé qu'une soirée ordinaire pourrait se transformer en une histoire d'espionnage qui allait devenir célèbre dans le monde entier. Une histoire très étrange, mais en même temps très simple, que j'ai d'abord dû raconter aux agents de sécurité de l'entreprise, et maintenant à vous.
De plus, il n'est pas difficile d'imaginer ce qui se serait passé si mon logiciel, après avoir passé l'authentification, avait soudainement eu accès aux clés des portefeuilles cryptographiques du monde entier, tout comme aux robots aspirateurs. J'aurais pu non seulement voir les données, mais aussi contrôler les fonds appartenant à des inconnus du monde entier. Mais je vais vous raconter tout cela dans l'ordre.
J'étais assis dans ma chambre et j'essayais de maîtriser le fonctionnement de mon nouvel aspirateur DJI Romo, qui combine les technologies des drones (LiDAR, vision binoculaire) et la fonction de vidéosurveillance. En termes plus simples : j'avais envie de m'amuser un peu, plutôt que de faire le ménage. Et lorsque j'ai lancé mon aspirateur, les données d'un autre appareil sont apparues devant moi. Puis d'autres encore. Et quelques minutes plus tard, je voyais déjà 6 700 robots du monde entier, chacun avec son numéro de série, son adresse IP, l'état de sa batterie et même un plan des lieux. En d'autres termes, j'avais accès à des milliers de maisons étrangères et à leurs caméras.
À un moment donné, je suis devenu un observateur invisible dans des centaines d'appartements en Asie, en Europe, en Amérique du Nord, etc.
Je n'ai pas piraté ces robots intentionnellement, mais ma clé d'authentification a été perçue par le serveur DJI comme une clé universelle. Imaginez maintenant qu'au lieu de robots aspirateurs, ce système contenait des comptes et des portefeuilles cryptographiques, chacun contenant des centaines ou des centaines de milliers de dollars dans différentes devises numériques !
J'ai été horrifié à l'idée du peu de temps nécessaire pour transférer des centaines de millions vers une destination inconnue, car les pirates auraient pu rapidement transférer des ethers, des bitcoins ou d'autres jetons vers des adresses tierces. Heureusement, il ne s'agissait que d'un scénario hypothétique. En réalité, j'ai été confronté à des millions d'images d'intérieurs domestiques et aux déplacements des aspirateurs, et non aux clés des comptes de cryptomonnaie.
J'ai immédiatement désactivé mon application, rendu l'accès à DJI et écrit à l'entreprise pour lui signaler la vulnérabilité. On m'a presque traité de criminel, alors qu'en réalité, j'essayais simplement de nettoyer ma maison à l'aide de l'appareil.
Cependant, il semble que la société ait tiré les leçons de cette expérience, car lorsqu'il s'agit de données privées ou d'actifs numériques, une seule erreur peut coûter beaucoup plus cher que vous ne pouvez l'imaginer !
Après l'histoire avec Romo, je pensais avoir mis un point final à cette étrange histoire. Oui, c'est cette histoire retentissante où j'ai essayé de maîtriser mon nouveau robot DJI Romo, qui combine la technologie des drones et la fonction de vidéosurveillance, et où j'ai piraté des appareils robotisés dans le monde entier. Mais le véritable suspense a commencé plus tard, lorsque mon ami analyste chez Chainalysis m'a appelé pour me demander si j'étais sûr que mon cas était un hasard. Je précise que nous nous étions déjà rencontrés lors de conférences sur la sécurité numérique à San Francisco et Las Vegas, où nous avions discuté du phishing, des méthodes et techniques de piratage, et des portefeuilles cryptographiques déjà piratés.
Il m'a dit que leurs systèmes avaient détecté une activité étrange : des tentatives synchronisées d'accès à plusieurs milliers de portefeuilles cryptographiques, qui avaient toutes un point commun : l'utilisation de services tiers avec authentification centralisée. De plus, il n'y avait aucune trace visible de piratage direct. Seulement un maillon faible entre l'utilisateur et le serveur. J'ai accepté de raconter tout ce que je savais à ce sujet et l'histoire déjà connue de la façon dont j'avais accidentellement piraté 6 700 appareils.
Nous nous sommes rencontrés hors ligne. Sur la table se trouvait un ordinateur portable contenant des listes de transactions, des horodatages et des clusters IP. Une partie des itinéraires menait à une infrastructure précédemment associée au Lazarus Group, un groupe connu pour ses attaques contre les crypto-bourses et les projets DeFi. Il n'y avait pas de preuves directes. Mais les coïncidences étaient trop intéressantes.
J'ai compris que si la vulnérabilité Romo concernait non pas les robots aspirateurs, mais les portefeuilles cryptographiques, le scénario aurait été catastrophique : le système aurait enregistré les mouvements de fonds. Et les clés privées auraient été perdues à jamais. Il est à noter que les utilisateurs auraient accusé les bourses, les fabricants et les développeurs de logiciels. Mais la véritable raison était des erreurs dans l'architecture d'accès.
Nous n'avons pas rendu publiques nos actions ultérieures. Au lieu de cela, j'ai transmis les conclusions techniques à l'équipe de sécurité et, quelques jours plus tard, un correctif est apparu. J'ai été informé par courrier que les spécialistes testaient déjà le prochain système de sécurité afin d'empêcher l'apparition du phénomène appelé « clé universelle ».
Dans le monde numérique, un crime commence rarement par un piratage. Le plus souvent, il commence par une solution pratique qui fonctionne « trop bien pour toutes les serrures ». Et parfois, tout peut commencer par la mise en marche du contrôleur d'un aspirateur ordinaire. C'est exactement ce qui m'est arrivé récemment.
