Imaginez un instant que vous ayez la possibilité de créer de l’argent de toutes pièces sur votre compte en banque. Un rêve devenu réalité pour certains usagers de la plateforme d’échange de cryptomonnaies Kraken, qui s’est récemment retrouvée face à un bug pour le moins épineux. Cette faille de sécurité, jugée « extrêmement critique », a permis à des individus malveillants de gonfler artificiellement leurs soldes, provoquant un vif débat au sein de la communauté crypto. Entre divulgation responsable et tentative d’extorsion, retour sur une affaire à 3 millions de dollars qui sème le trouble.
Kraken face à une faille « extrêmement critique »
Le 9 juin dernier, un chercheur en sécurité a tiré la sonnette d’alarme en avertissant Kraken d’une vulnérabilité permettant à des utilisateurs peu scrupuleux de gonfler artificiellement leurs soldes. Une manipulation rendue possible grâce à l’exploitation d’une faille dans le processus de dépôt, autorisant la réception de fonds sans même finaliser la procédure. Un bug longtemps gardé secret par la plateforme, qui vient tout juste d’être rendu public par son responsable de la sécurité, Nick Percoco, sur le réseau social X (anciennement Twitter).
Un déluge de faux rapports pour noyer le poisson ?
Si la divulgation de cette faille a été quelque peu retardée, c’est en raison de l’afflux massif de faux rapports de bugs que doit gérer quotidiennement l’équipe de sécurité de Kraken. Une situation qui complique la tâche des experts, contraints de trier le bon grain de l’ivraie pour identifier les véritables menaces. Heureusement, dans le cas présent, la pertinence du signalement a rapidement été confirmée, permettant de colmater la brèche en un temps record.
Un bug corrigé en un temps record
Une fois la faille identifiée et validée, les équipes de Kraken n’ont pas chômé. En effet, comme l’explique Nick Percoco, le bug a été entièrement résolu en seulement 1 heure et 47 minutes, un délai remarquable au vu de la criticité du problème. Une réactivité qui a permis d’éviter le pire, puisque les avoirs des clients n’ont à aucun moment été menacés, comme le souligne le responsable sécurité.
Pour être clair, les actifs des clients n’ont jamais été menacés. Cependant, un attaquant malveillant pourrait effectivement imprimer des actifs sur son compte Kraken pendant un certain temps.
Nick Percoco, Responsable sécurité chez Kraken
3 millions de dollars envolés, une enquête ouverte
Mais si les fonds des utilisateurs sont restés intacts, l’exploitation de cette faille n’a pas été sans conséquence. Après investigation, les experts de Kraken ont en effet découvert que 3 comptes distincts étaient impliqués dans cette affaire. Le premier, rapidement identifié comme appartenant au chercheur en sécurité à l’origine de la divulgation, n’a réalisé qu’une transaction de 4$, suffisante pour prouver ses dires et prétendre à une récompense. En revanche, les deux autres auraient profité de la faille pour dérober pas moins de 3 millions de dollars à la plateforme !
Un hack éthique qui vire au chantage
Mais le plus troublant dans cette histoire, c’est que ces deux comptes appartiendraient également à la société de cybersécurité ayant découvert la vulnérabilité. Une révélation qui jette une ombre sur les véritables intentions de ces “white hats”, censés agir de manière éthique. D’autant que ces derniers auraient refusé de restituer les fonds tant que le bug n’était pas rendu public. Un comportement qui s’apparente plus à de l’extorsion qu’à une divulgation responsable selon Nick Percoco.
Les 3 points à retenir de l’affaire Kraken :
- Une faille critique permettait de gonfler artificiellement les soldes sur Kraken
- 3 millions de dollars ont été dérobés par des “white hats” peu scrupuleux
- Kraken parle d’extorsion et menace de poursuites judiciaires
Vers une judiciarisation de l’affaire
Face à cette situation, Kraken a décidé de contre-attaquer. La plateforme menace en effet de traîner les auteurs de ce qu’elle considère comme une tentative d’extorsion devant les tribunaux. Une décision qui risque de faire jurisprudence dans le milieu du bug bounty, où la frontière entre divulgation éthique et appât du gain peut parfois sembler ténue. Une chose est sûre, cette affaire ne manquera pas de relancer le débat sur les dérives potentielles de cette pratique, pourtant essentielle pour renforcer la sécurité de l’écosystème crypto.
Alors, hack éthique ou chantage caractérisé ? Si la justice tranchera peut-être bientôt sur le plan légal, le débat risque lui de continuer à agiter la communauté crypto. Une affaire qui rappelle en tout cas l’importance de la sécurité et de l’éthique dans un secteur en constante évolution, où les tentations sont grandes et les sommes en jeu colossales.
