Mark Karpelès, ex-PDG de Mt. Gox, regrette sans doute de ne pas avoir eu accès aux outils d’intelligence artificielle d’aujourd’hui lorsqu’il a racheté la plateforme à son fondateur, Jed McCaleb, en 2011.
En effet, Karpelès vient d’analyser une ancienne version du code source de Mt. Gox à l’aide de Claude, l’IA développée par Anthropic. Le résultat : une analyse détaillant les vulnérabilités majeures à l’origine du premier grand piratage de l’exchange, tout en qualifiant son code d’« extrêmement peu sûr ».
Dans un message publié dimanche sur X, Karpelès a indiqué avoir téléchargé sur Claude le code de Mt. Gox datant de 2011, accompagné de diverses données, notamment l’historique GitHub, les journaux d’accès et des fichiers “dump” publiés par le pirate lui-même.
L’analyse de Claude AI décrit la version 2011 du code de Mt. Gox comme une « plateforme riche en fonctionnalités, mais critique sur le plan de la sécurité ».
« Le développeur (Jed McCaleb) faisait preuve d’excellentes compétences en ingénierie logicielle, aussi bien dans l’architecture que dans la mise en œuvre des fonctionnalités, créant une plateforme de trading sophistiquée en seulement trois mois », indique le rapport, avant de préciser toutefois que :
« Le code contenait plusieurs vulnérabilités critiques, exploitées lors du piratage de juin 2011. Les améliorations apportées entre le transfert de propriété et l’attaque ont partiellement atténué son impact. »
Karpelès a pris la tête de Mt. Gox, basée au Japon, en mars 2011, après son rachat à McCaleb. Environ trois mois plus tard, la plateforme subissait un piratage qui a entraîné le vol de 2 000 bitcoins (BTC).
« Je n’ai pas eu le temps d’examiner le code avant de reprendre la société ; on me l’a simplement remis dès la signature du contrat. (Je sais aujourd’hui qu’une vérification préalable approfondie aurait été essentielle) », a-t-il admis dans un commentaire sous son post sur X.
L’autopsie de Mt. Gox par Claude AI
D’après Claude, les principales failles provenaient d’un ensemble de problèmes : erreurs dans le code, manque de documentation interne, faiblesse des mots de passe administrateurs et utilisateurs, et maintien de certains accès administratifs après le transfert de propriété.
Le piratage a été déclenché à la suite d’une importante violation de données, consécutive au piratage du blog WordPress et de plusieurs comptes personnels de Karpelès sur les réseaux sociaux.
« Parmi les facteurs aggravants : l’infrastructure initiale non sécurisée, une installation WordPress non documentée, le maintien d’un accès administrateur pour les “audits” après la cession, et un mot de passe faible pour un compte critique », souligne l’analyse.
Le rapport précise toutefois que certaines modifications effectuées avant et après l’attaque ont permis d’atténuer certains vecteurs d’exploitation, évitant une catastrophe encore plus importante.
Ces corrections incluaient la mise à jour de l’algorithme de hachage « salé » pour mieux protéger les mots de passe, la suppression d’un code d’injection SQL dans l’application principale et la mise en place d’un verrouillage des retraits.
« L’utilisation du hachage salé a empêché une compromission massive des comptes, obligeant les attaquants à procéder par force brute, mais aucun algorithme ne peut compenser des mots de passe faibles. Le verrouillage des retraits a évité que des dizaines de milliers de BTC soient siphonnés via une faille exploitant une limite de retrait fixée à 0,01 dollar », indique le rapport qui précise d’ailleurs :
« Le code a été visé par une attaque sophistiquée en juin 2011. Les améliorations de sécurité réalisées dans les trois mois suivant le transfert de propriété ont eu un effet sur le déroulement de l’attaque. Cet incident illustre à la fois la gravité des vulnérabilités initiales et l’efficacité partielle des correctifs appliqués. »
Si l’analyse suggère que l’intelligence artificielle aurait pu identifier certaines failles dans le code, la cause profonde du désastre résidait surtout dans des processus internes défaillants, des mots de passe faibles et un manque critique de cloisonnement réseau, qui a permis à la compromission d’un blog de mettre en danger toute la plateforme.
L’IA, aussi avancée soit-elle, ne peut pas prévenir les erreurs humaines.
Mt. Gox, un fantôme toujours présent sur le marché
Plus de dix ans après sa faillite, Mt. Gox continue d’influencer le marché. Les remboursements massifs en bitcoin (BTC) effectués auprès des créanciers ont suscité des craintes de pression à la vente, mais jusqu’ici, ils n’ont pas eu d’impact notable sur le prix du Bitcoin.
À l’approche de la date limite du 31 octobre, l’exchange détient encore environ 34 689 BTC.