Force brute est une méthode d'attaque en cybersécurité caractérisée par une approche méthodique et systématique d'essais et d'erreurs pour déterminer les mots de passe, les clés de chiffrement ou les informations sensibles.
Le principe de base des attaques par force brute est d'essayer toutes les combinaisons possibles jusqu'à ce que la bonne soit trouvée. Cette méthode gourmande en ressources peut être efficace lorsque les systèmes ciblés n'ont pas de mesures de sécurité solides.
Cependant, les seed phrases sont considérées comme très sécurisées selon les normes modernes. Avec une seed phrase de 12 ou 24 mots parmi 2048 mots possibles, déterminer les bons mots dans le bon ordre est presque impossible. De plus, les ordinateurs et la puissance de calcul deviennent plus avancés chaque année, alors votre seed phrase pourrait-elle être forcée un jour par un pirate ayant accès à un superordinateur ? Découvrons-le.
Comprendre les seed phrases
Une seed phrase, ou phrase mnémonique, est une collection de mots générés par votre portefeuille de crypto-monnaies. C'est une clé de sauvegarde qui vous permet de récupérer votre portefeuille et son contenu en cas de perte ou de dommage. Pour citer George Orwell, « si vous voulez garder un secret, vous devez également le cacher à vous-même ». Une seed phrase est ce secret que vous devez protéger et garder caché à tout prix.
Une seed phrase, phrase mnémonique ou graine de récupération est cruciale dans les portefeuilles de crypto-monnaies, en particulier ceux qui suivent la norme BIP-39 (Bitcoin Improvement Proposal 39). C'est une séquence de mots qui sert de mécanisme de sauvegarde et de récupération pour les clés cryptographiques au sein d'un portefeuille.
Généralement composée de 12, 18 ou 24 mots, la seed phrase agit comme une expression lisible par l'homme de la clé privée d'un portefeuille. Elle est générée lors de la configuration initiale d'un portefeuille, et les utilisateurs sont instruits de la stocker de manière sécurisée, hors ligne et à l'abri des accès non autorisés.
La sécurité de votre portefeuille crypto repose fortement sur la protection de la seed phrase. Toute personne ayant accès à votre seed phrase peut prendre le contrôle de vos fonds.
Une attaque par force brute peut-elle exposer votre seed phrase ?
Les seed phrases, pilier de la sécurité des portefeuilles de crypto-monnaies, sont très résistantes au piratage. Leur complexité, généralement de 12 ou 24 mots, résulte en des milliards de combinaisons, rendant les attaques par force brute peu pratiques.
Selon une analyse de l'astucieux redditor matejcik (u/matejcik) qui a fait le calcul :
Il y a actuellement environ 500 millions d'utilisateurs de crypto-monnaies. Supposons que chaque utilisateur ait une seed phrase de 12 mots.
Cela implique que tenter de forcer brutalement toutes les seed phrases possibles de 12 mots vous donnerait une chance de découvrir un portefeuille non vide après environ 340 282 366 920 938 463 463 374 607 431 tentatives (équivalent à 3,4 * 10^29).
Selon Memepol, le pool de mining Foundry USA se vante d'avoir un hashrate de 162 EH/s, ce qui se traduit par 162 * 10^18 hashes par seconde. Cela les positionne comme l'ordinateur superpuissant à usage unique le plus important au monde. Tout en se concentrant uniquement sur le mining de Bitcoins, ils surpassent les superordinateurs traditionnels dans cette tâche spécifique.
En 24 heures, ils minent 40 blocs, résultant en un revenu constant de 252 BTC par jour.
Forcer brutalement les seed phrases nécessite du matériel différent, avec plus de 2000 fois plus d'opérations nécessaires par seed phrase. Cependant, pour les besoins de cette expérience, supposons que le matériel soit le même. En divisant 162 EH/s par 2000, le hashrate résultant est de 81 Pseeds/s, équivalent à 81 * 10^15 seed phrases par seconde.
Si nous divisons les 3,4 * 10^29 tentatives par seed phrase par 81 * 10^15 seed phrases par seconde, nous obtenons 4 milliards de secondes par seed phrase. En d'autres termes, trouver une seed phrase avec des fonds prendrait 133 ans.
Imaginons un individu incroyablement riche investissant dans du matériel sur mesure, achetant 100 fois plus que Foundry USA. Ce matériel est spécifiquement conçu pour forcer brutalement les seed phrases, et il fonctionne pendant un an pour trouver une seed phrase particulière – disons, la vôtre.
Cette opération nécessiterait de renoncer à au moins 40 blocs ou 250 BTC par jour, une partie substantielle de laquelle couvrirait les dépenses en électricité de cette opération énergivore.
En conclusion, forcer brutalement les seed phrases de 128 bits n'est pas du tout économiquement viable et ne le sera probablement jamais.
Quel est l'impact potentiel de l'informatique quantique sur ce scénario ?
L'informatique quantique pourrait conduire à une percée significative en matière de cryptographie, rendant potentiellement les normes actuelles facilement cassables. Il y a même des affirmations selon lesquelles des données cryptées de haute valeur sont stockées en prévision de ce développement, et certaines grandes plateformes proposent déjà des serveurs équipés de bits quantiques.
Alors, combien de temps faudra-t-il avant que l'informatique quantique ne devienne un outil de force brute courant dans le monde de la crypto ? Que pouvons-nous attendre de son application et quels problèmes de sécurité pourraient survenir ?
Forcer brutalement une seed phrase n'est pas comme « casser le cryptage », domaine dans lequel excellent les ordinateurs quantiques. Certains algorithmes quantiques peuvent diminuer la difficulté, mais ce n'est pas suffisant.
En essence, la difficulté pourrait être réduite de 128 bits à 64 bits. Bien que cela représente une réduction significative, cela nécessiterait un ordinateur quantique beaucoup plus grand qu'un ordinateur classique ne le serait. Deuxièmement, chaque tentative serait considérablement plus lente de plusieurs ordres de grandeur. Troisièmement, la capacité à compenser en « achetant plus de matériel » est limitée en raison de la disponibilité insuffisante du matériel.
De plus, le niveau de difficulté de 64 bits est actuellement cassable, mais il est sur le point d'être « généralement pas rentable ». Les défis posés par l'informatique quantique rendent le forçage brutal des seed phrases « fondamentalement jamais rentable ».
Conclusion
Forcer brutalement n'est pas une préoccupation majeure pour la sécurité des seed phrases et des clés privées. Il est hautement improbable qu'un individu ou une entreprise dispose des ressources financières et technologiques nécessaires pour passer méticuleusement au crible et employer la méthode de force brute pour compromettre un portefeuille crypto chargé.
Même avec un ordinateur quantique, le même algorithme qui pourrait bénéficier à l'informatique quantique dans les tests de seed phrases peut également accélérer le mining de Bitcoin par un facteur similaire tout en demandant beaucoup moins de puissance de traitement que les tentatives de force brute. En d'autres termes, miner du BTC et d'autres crypto-monnaies est bien plus rentable que d'essayer de forcer brutalement des seed phrases.
Par conséquent, votre préoccupation ne devrait pas résider dans les vulnérabilités du point de vue de cette attaque, mais plutôt dans la manière dont vous sécurisez et stockez vos seed phrases. La seed phrase reste le seul rempart pour protéger vos actifs de toute personne ayant de mauvaises intentions.