L’application Copay de Bitpay aurait été compromise par incompétence

Actualités

29 novembre 2018 par Victor

Partager Tweet Partager Partager À épingler

Suite à une passation de contrôle effectuée par Donminic Tarr à un nouvel utilisateur nommé right9trl sur Github, de nombreuses applications web dont Copay ont été compromises, laissant une brèche ouverte au niveau des clés privées.

Une faute qui vaut des millions de dollars

Qu’elle fût produite par inadvertance ou par incompétence, l’affectation de la responsabilité de contrôle de Github sur un utilisateur non expérimenté a provoqué une véritable catastrophe pour les utilisateurs de Bitpay. Le module Node.js dénommé event-stream utilisé pour Bitpay (Copay) a été victime d’une contamination suite à la passation du contrôle à un utilisateur non expérimenté dénommé right9ctrl.

Selon les renseignements reçus d’un plaignant de GitHub, ce dernier, suivant l’octroi du pouvoir de contrôle par Dominic Tarr, aurait pris la décision d’injecter un logiciel qui se trouve être malveillant. A cet effet, les clés privées d’applications ont été exposées. En sachant que Bitpay gère d’innombrables portefeuilles BTC dans le monde, cette erreur pourrait donc coûter plusieurs millions de dollars aux utilisateurs.

De l’inadvertance à la faute impardonnable

Ce qui nous a le plus surpris, c’est la manière dont se sont déroulés les événements. Aussi, lorsque l’ancien responsable de la gestion de la bibliothèque de flux d’événements, Starr, a déclaré qu’il était incapable de répondre à une demande de droits de publication, il a décidé d’affecter un novice sur l’activité.

Par ailleurs, ce nouveau gestionnaire a commis l’irréparable en injectant un logiciel malveillant dans la plateforme. Conscient de son erreur (pour éviter la détection), ce dernier a corrigé le problème, cependant, ceux qui ont installé ce virus ont déjà été touchés.

Que pensez-vous de cette nouvelle ? Donnez-nous votre avis et réagissez dans la section commentaires.