Kraken : faille de sécurité à 3 millions

20 juin 2024 - par Didier Sampaolo

Le 9 juin 2024, Kraken, l'une des principales plateformes d'échange de cryptomonnaies, a été alertée par un chercheur en sécurité via leur programme de Bug Bounty. Ce chercheur prétendait avoir découvert une faille critique, qui lui permettait de gonfler artificiellement les soldes des comptes sur la plateforme.

Bug Bounty ?

Un programme de "Bug Bounty", c'est une façon pour les entreprises de se faire aider par des hackers éthiques : si vous découvrez une faille de sécurité exploitable et que vous contactez l'entreprise pour qu'elle la corrige, vous recevez une compensation financière (parfois même un bon jackpot).

Les règles de ce jeu sont strictes. Notamment :

  • la vulnérabilité ne doit pas être exploitée au-delà du nécessaire pour prouver son existence,
  • vous devez fournir des preuves et une méthodologie détaillée (pour que la faille soit reproduite par les équipes en interne),
  • vous devez restituer immédiatement ce que vous avez réussi à extraire.

Réaction Immédiate de Kraken

Nicholas Percoco, responsable de la sécurité chez Kraken, a expliqué dans une série de tweets que bien que de nombreux rapports de failles soient souvent des faux, cette alerte a été prise au sérieux. Une équipe interfonctionnelle a été mise en place pour enquêter.

Il ne leur aura fallu que quelques minutes pour reproduire l'attaque, et ajouter des fonds sur leur compte Kraken sans que le dépôt ne soit réellement complété. Heureusement, les actifs des clients n'ont jamais été en danger, mais la faille permettait effectivement de créer des actifs fictifs dans les comptes Kraken. Cette vulnérabilité a été triée comme critique et a été corrigée en 45 minutes. Le problème provenait d'un récent changement dans l'expérience utilisateur (UX), permettant aux comptes clients d'être crédités avant que leurs actifs ne soient entièrement validés. Changement qui est semble-t-il passé en production un peu trop vite, puisqu'il n'était pas suffisamment testé contre ce "edge case".

L'exploitation de la faille

Une enquête approfondie a révélé que trois comptes avaient exploité cette faille en quelques jours. L'un de ces comptes appartenait à l'individu ayant initialement découvert la faille et qui prétendait être un chercheur en sécurité. Ce dernier a utilisé cette faille pour créditer son compte de 4 dollars en cryptomonnaie, ce qui aurait suffi à prouver l'existence du problème et à réclamer une récompense considérable dans le cadre du programme de Bug Bounty.

Cependant, au lieu de se limiter à cette démarche, ce chercheur a divulgué la faille à deux complices qui ont généré des sommes beaucoup plus importantes, retirant près de 3 millions de dollars des trésoreries de Kraken (et non des actifs des autres clients, qui n'ont pas été menacés).

Ce qui est assez dingue, c'est que la politique de KYC (Know Your Customer) de Kraken, appliquée à la lettre, fait que la plateforme avait déjà vérifié l'identité des attaquants avant qu'ils ne puissent retirer de fonds. Autant dire que pour récupérer leur argent, ils savent très bien à quelle porte aller taper.

Refus de collaboration

Lorsque Kraken a tenté de confirmer les détails de l'exploitation de cette faille pour récompenser les chercheurs, les individus concernés ont refusé de coopérer. Ils ont :

  • exigé que Kraken discute avec leur équipe commerciale,
  • conditionné la restitution des fonds au paiement d'un pourcentage des pertes que la plateforme aurait essuyées si la faille n'avait pas été signalée.

Nick Percoco a qualifié ces actions d'extorsion.

Mesures futures

Kraken a décidé de ne pas révéler le nom de la société de recherche impliquée, considérant leur comportement comme criminel et collaborant désormais avec les forces de l'ordre pour traiter cette affaire. Malgré cette expérience, Kraken réitère son engagement envers son programme de Bug Bounty, essentiel pour renforcer la sécurité globale de l'écosystème des cryptomonnaies.

Cet incident souligne l'importance de la responsabilité éthique dans la recherche de failles de sécurité et rappelle que la transparence et la coopération sont cruciales pour le succès de programmes de Bug Bounty légitimes.

Ils risquent quoi ?

Attention, à prendre avec des pincettes, je ne suis pas juriste et ces informations doivent être re-vérifiées. Elles sont citées pour qu'on se fasse une idée générale de la gravité de leur situation.

USA

Kraken est une entreprise américaine, basée à San Francisco, en Californie (elle pèse 3 bons milliards de dollars). Aux États-Unis, la loi qui s'applique dans ce genre de cas est le Computer Fraud and Abuse Act (CFAA) de 1986 - qui est assez vague sur les peines, laissant la main aux juges pour décider. Pour un premier délit, la peine de prison est généralement de 5 ans, qui peut facilement être doublée si de grosses sommes sont en jeu.

Vu que les auteurs sont plusieurs à s'être "fait passer" l'information concernant la vulnérabilité et qu'ils ont opéré ensemble, Kraken pourrait aussi les accuser de complot, ce qui ajouterait une petite décennie à leurs peines potentielles.

Tout ça, bien sûr, en plus de l'obligation de restitution des fonds.

France

Imaginons que Kraken soit une société française. Dans ce cas, c'est le Code Pénal qui s'applique, et qui prévoit une peine de 3 ans d'emprisonnement et 100.000 € d'amende, puisque l'intrusion a causé la modification de données (dans le cas contraire, ça serait un an de moins, et 60k d'amende). Il est déjà arrivé que les juges retiennent aussi le chef d' "escroquerie", et même d'"association de malfaiteurs",

  • intrusion et le maintien dans un système d'information : Jusqu'à trois ans d'emprisonnement, et amende de 100 000 euros.
  • escroquerie : Jusqu'à cinq ans d'emprisonnement., et amende de 375 000 euros.
  • association de malfaiteurs : Jusqu'à dix ans d'emprisonnement. et amende de 150 000 euros.