Passer au contenu

Une faille critique dans les portemonnaies Bitcoin sur Android

Une vulnérabilité fragilise les transactions Bitcoin effectuées directement depuis un appareil Android. Certains comptes ont ainsi pu être dévalisés.

Si vous avez un portemonnaie Bitcoin sur un smartphone ou une tablette Android, sachez que votre argent n’est peut-être pas en sécurité. En effet, les responsables du projet Bitcoin alertent les utilisateurs sur l’existence d’une faille qui a d’ores et déjà été exploitée. Le problème se situe au niveau du générateur de nombres aléatoires qui est exécuté lorsqu’un utilisateur signe une transaction avec sa clé privée. Implémenté au niveau de la classe Java « SecureRandom », cet outil n’est malheureusement pas aussi aléatoire qu’il devrait l’être, permettant à certains esprits mal tournés de retrouver des clés privées à partir des données publiques de transaction, puis de vider les comptes correspondants. Ce qui est d’ailleurs arrivé à plusieurs reprises.

Cette faille ne concerne que les applications Android qui stockent et gèrent directement les clés privées de signature. Il est recommandé de changer les clés privées et, si possible, de mettre à jour les applications. Deux d’entre elles proposent d’ores et déjà un rectificatif (Bitcoin Wallet et Mycellium Wallet). Les applications de type Coinbase ou MtGox, où les clés sont gérées côté serveur, ne sont pas concernées par cette faille.

Sources :

L’alerte du Bitcoin.org
Le forum Bitcointalk

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn