Joe Grand : « C’est ainsi que j’ai ‘voyagé dans le temps’ pour récupérer un mot de passe et 3 millions d’euros en bitcoin » | Technologie

L’Allemand Michael a acheté du bitcoin en 2013 et l’a conservé dans un portefeuille numérique avec un mot de passe. Il a utilisé un générateur de mot de passe appelé Roboform pour le créer et l’a enregistré dans un fichier texte crypté. Peu de temps après, le fichier contenant le mot de passe a été corrompu et il l’a perdu à jamais : « À ce moment-là, j’ai pensé : ok, merde, environ deux mille euros… eh bien, tu te mets en colère », dit Michael, qui utilise un nom fictif pour se protéger. son identité. Mais au fil des années. Le prix du Bitcoin a commencé à augmenter. En 2024, son portefeuille valait environ 3 millions d’euros. “J’ai cette fortune, je peux la voir mais je ne peux pas l’utiliser parce que je n’ai pas le mot de passe”, a-t-il déclaré.

La seule façon à laquelle il pouvait penser pour le récupérer était de recourir à un pirate informatique légendaire, Joe Grand, connu sous le nom de Kingpin. Grand avait récupéré d’autres mots de passe au cours de processus laborieux et complexes et les avait racontés dans des vidéos YouTube. Lorsque Michael lui a écrit, Grand lui a dit d’oublier sa richesse : « Toutes les combinaisons possibles représentent plus de 100 milliards de fois les gouttes d’eau du monde entier. Il peut s’agir d’une goutte qui tombe du ciel, d’une rivière ou de n’importe quel océan du monde. La seule solution est de réduire ce montant insurmontable à quelque chose avec lequel nous pouvons réussir », explique Grand. Et il a rejeté la demande de Michael, dont le seul espoir était de léguer le portefeuille à son fils pour qu’un jour une technologie plus avancée puisse l’ouvrir.

Le travail principal de Grand est de donner des cours sur la façon de pirater des appareils dans des entreprises et des organisations : « Je prends un appareil électronique, je l’analyse, je découvre son fonctionnement, j’identifie les principaux composants dont nous pouvons tirer parti, je surveille les signaux. et rechercher les vulnérabilités”, explique-t-il par vidéoconférence à EL COUNTRY. De plus, il se consacre à aider des personnes comme Michael qui ont perdu leur mot de passe ou endommagé leurs appareils numériques avec des crypto-monnaies. Il reçoit beaucoup de mails chaque semaine : « Cela me prend désormais une part importante de mon temps, je ne m’attendais pas à autant de messages que je reçois », dit-il.

Deux de ses récents succès, dit-il, sont de faire revivre le portefeuille d’un type qui l’avait jeté dans un lac en Floride et qui avait dû engager une équipe de plongeurs pour le récupérer (« Je ne sais toujours pas pourquoi il l’a jeté ») ou trouver le mot de passe d’un jeune homme qui, sur son lit de mort, a dit à son frère qu’il pensait que la clé avait quelque chose à voir avec le nom de sa grand-mère. Dans des cas comme celui-ci, lorsque la personne concernée a une idée du mot de passe, il est possible de le rechercher par force brute, en essayant les unes après les autres des millions de variables proches. Mais il n’en va pas de même lorsqu’il y en a des milliards.

Michael insiste et Grand, en collaboration avec Bruno, un jeune pirate informatique spécialisé dans les logiciels, a découvert un détail intrigant dans l’évolution des différentes versions de Roboform au fil des années. Pour la nouvelle version 2015, la société a écrit cette nouvelle fonctionnalité : « Augmente le caractère aléatoire des mots de passe générés ». Cela signifiait-il qu’avant, disons en 2013, lorsque Michael créait son mot de passe, les mots de passe n’étaient pas vraiment aléatoires ?

C’est là qu’ils ont commencé à imaginer qu’il pourrait y avoir une option pour récupérer l’argent : « Créer des nombres aléatoires est très difficile. Si nous pouvons manipuler ce caractère aléatoire, nous pouvons générer un résultat prévisible qui nous aidera à trouver le mot de passe de Michael”, explique Grand dans la vidéo de cette affaire, qui compte plus de 820 000 vues. Avant, ils devaient trouver dans le code de Roboform comment il générait les mots de passe. Cette fonction n’est pas accessible et, pour la trouver, ils ont même utilisé un outil de la National Security Agency américaine (la fameuse NSA), baptisé Hydra : « C’est comme des poupées russes. Le but est de trouver celui du centre, le petit », explique Grand.

Après de nombreuses heures consacrées à comprendre comment Roboform générait les mots de passe, ils ont réalisé qu’ils pouvaient créer deux fois le même mot de passe. Ils avaient découvert que le caractère aléatoire dépendait du temps : « Nous pourrions tromper le système et remonter en 2013 pour qu’il génère les mots de passe dans la fenêtre de temps pendant laquelle nous pensions que Michael avait généré son mot de passe », explique Grand. Les mots de passe créés par Roboform dépendaient du moment où ils étaient créés : « Maintenant, le vrai jeu commençait », ajoute Grand. Mais auparavant, Michael devait se souvenir du jour approximatif de 2013 où il avait généré le mot de passe et les paramètres précis (nombre de caractères, minuscules, majuscules, touches spéciales).

Mais d’abord, en réalité, ce que Grand et Bruno avaient découvert était une énorme vulnérabilité dans Roboform. Les personnes qui utilisaient des mots de passe aléatoires avant 2015 avec Roboform sont des victimes potentielles : « C’était la première fois que je faisais un projet comme celui-ci. Je l’ai déjà fait par ingénierie inverse, mais recréer pratiquement tous les mots de passe possibles qui auraient pu être générés avec un générateur était quelque chose de nouveau et je ne savais même pas que c’était possible. C’est également extrêmement problématique pour quiconque a utilisé ce logiciel », explique Grand.

La revue Câblé contacté Roboform, qui n’a pas donné de détails sur la façon dont ils avaient résolu le problème. Ils n’avaient pas non plus prévenu tous leurs clients : « Pour moi, c’est une affaire plus importante que de trouver le mot de passe de quelqu’un pour récupérer son bitcoin », explique Grand. “Ces mots de passe [defectuosas] Ils peuvent protéger les comptes bancaires, les dossiers médicaux, car ce sont des logiciels qui sont vendus. Parfois, les prestataires sont très reconnaissants et résolvent les problèmes, mais d’autres fois, ils agissent comme si de rien n’était. “Il est possible que les versions futures soient également sensibles, mais d’une manière légèrement différente, car elles n’ont jamais partagé la manière dont elles ont résolu le problème”, ajoute-t-il.

Vous pourriez penser que personne d’autre ne consacrera autant d’heures à résoudre un problème comme Grand et Bruno. Surtout lorsqu’ils ont été incités à conserver un pourcentage des bitcoins qu’ils aident à récupérer. Mais pour Grand, cela est extrêmement improbable : « Si Bruno et moi avons découvert ce problème, quelqu’un d’autre l’a sûrement aussi découvert. Depuis que je suis jeune, lorsque j’étais dans des collectifs de hackers, j’ai toujours dit que nous étions juste des gars qui jouaient. Imaginez s’il s’agit d’une agence publique, d’un adversaire ou d’un État, il y a de fortes chances qu’ils en profitent d’une manière ou d’une autre, cela pourrait même être le gouvernement américain », dit-il.

Le succès n’a pas été facile

Mais pour l’instant, Grand et Bruno devaient aider Michael. Il leur a donné quelques dates au printemps 2013 et quelques paramètres : 20 chiffres et caractères minuscules, majuscules et spéciaux. Ils ont essayé les millions de mots de passe créés par Roboform dans cette fenêtre et ils n’ont pas fonctionné. Quelque chose n’allait pas. Les nerfs ont commencé : «[Michael] «Il se mettait en colère contre nous», dit Grand. «Mais finalement, sa mémoire était erronée. Nous avons essayé un autre ensemble de paramètres et cela a fonctionné », ajoute-t-il.

Michael passait quelques jours à Barcelone à l’automne 2023 et Grand et Bruno s’y sont rendus avec un énorme chèque qui disait « 1,6 million de dollars » car c’était la valeur de leur bitcoin à l’époque. Lorsqu’ils ont publié la vidéo sur YouTube, en juin 2024, celle-ci avait été multipliée par deux.

Les vidéos diffusées sur la chaîne de Grand ne visent pas seulement à montrer ses compétences techniques : « Le piratage semble souvent magique, mais en réalité, il y a un processus derrière cela. Si vous faites ce qu’il faut, vous pouvez prendre le contrôle des systèmes, et c’est quelque chose que j’aime. J’aime pouvoir partager cela avec les gens, qu’ils puissent regarder le code et dire : « Oh, c’est juste ça ! Il s’agit simplement de déplacer certaines choses et d’exécuter ce code, et tout cela arrive.’

Bien qu’il gagne de l’argent, Grand ne réalise pas ces projets pour devenir riche, il dit : « Cela me garde l’esprit pirate informatique occupé et éveillé et je suis intéressé à travailler sur des projets intéressants car chaque cas est un peu différent. En ce moment, je suis avec un portefeuille que je n’ai jamais vu auparavant, je dois donc l’explorer, le comprendre, faire quelques expériences puis essayer de le pirater. Il y a aussi un autre projet en cours qui est très intéressant du point de vue du défi et du puzzle, et qui est important », dit-il.

Malgré cet objectif sain pour son responsable technique, Grand envoie également un message à l’industrie : les logiciels ne sont pas infaillibles et encore moins entre les mains des humains. «J’ai 935 mots de passe, certains créés avant 2015», dit-il. « Si moi, qui me consacre à cela, je ne les renouvelle pas s’ils ne me forcent pas, que fera le reste du peuple ? “C’est pourquoi il est si important que les entreprises partagent leurs problèmes lorsqu’ils surviennent.”

Le succès de Grand dans la recherche de ces types de mots de passe lui a valu de recevoir de nombreux messages de personnes qui ont été victimes d’une arnaque. Dans ces cas-là, il n’y a pas grand-chose à faire. « Je ne demande jamais d’argent à l’avance, car c’est ainsi que fonctionnent les escrocs », dit-il. L’un de ses problèmes concerne les pages qui usurpent son identité : « Pour le moment, notre objectif principal est d’en supprimer une qui porte mon nom et l’extension ‘.es’, en provenance d’Espagne », dit-il.

Vous pouvez suivre Technologie EL PAÍS dans Facebook et X ou inscrivez-vous ici pour recevoir notre newsletter semestrielle.