Le détournement DNS de Bitcoin.org : Comment la page d'accueil de Bitcoin est devenue une arnaque « Doublez vos coins »
En septembre 2021, Bitcoin.org — le site d'information de référence de Bitcoin, géré par l'opérateur pseudonyme Cobra — a été détourné au niveau de la couche DNS et transformé en un faux cadeau « doublez vos Bitcoin », permettant aux escrocs de soutirer environ 17 000 $ avant que le site ne soit mis hors ligne. Une analyse approfondie de Domain Mayday sur ce qui s'est passé, comment, et ce que cela nous apprend sur la dépendance de sites crypto-natifs envers le DNS.
- domains
- security
- dns
- domain-security
Pendant plus d'une décennie, si vous vouliez une réponse simple et impartiale à la question « qu'est-ce que Bitcoin et comment l'utiliser en toute sécurité », internet vous renvoyait vers une seule adresse : Bitcoin.org.
Ce n'était jamais une plateforme d'échange. Le site ne vendait rien. C'était ce qui ressemblait le plus à un paillasson officiel pour la monnaie la plus décentralisée et la plus méfiante du monde — un site enregistré le 18 août 2008, plus ancien que le bloc de genèse lui-même, l'endroit où vivait le livre blanc de Bitcoin et où les nouveaux arrivants apprenaient la première règle de la crypto : soyez votre propre banque, et ne faites confiance à personne avec vos clés.
Il existe donc une ironie brutale dans ce qui s'est passé le jeudi 23 septembre 2021. La leçon de sécurité la plus répétée dans tout le monde de la crypto — si quelqu'un promet de doubler vos coins, c'est une arnaque — a été diffusée, à l'envers, depuis la propre porte d'entrée de Bitcoin. Pendant quelques heures, le site qui apprenait aux gens à ne pas tomber dans le panneau du « doublez vos Bitcoin » était lui-même l'arnaque « doublez vos Bitcoin ». Et cela s'est produit non pas parce que quelqu'un avait pénétré dans un serveur, mais parce que quelqu'un avait pris le contrôle du domaine.
Un foyer symbolique et de confiance pour Bitcoin
Pour comprendre pourquoi ce détournement a fait si mal, il faut comprendre ce que représentait Bitcoin.org.
Bitcoin n'a pas de PDG, pas de siège social, et pas de porte-parole officiel. Ce qu'il avait — pendant des années — c'était un petit ensemble de sites de référence gérés par la communauté, et Bitcoin.org était le plus important d'entre eux. CryptoPotato l'a décrit comme le plus ancien site web en rapport avec le BTC, enregistré il y a plus de 13 ans. Il hébergeait des recommandations de portefeuilles, des guides de démarrage, et une copie du livre blanc de Satoshi Nakamoto.
Il était aussi, de façon appropriée pour Bitcoin, géré par un fantôme. Le site est maintenu par un opérateur pseudonyme connu uniquement sous le nom de Cobra — anonyme par principe. Ce principe avait récemment été mis à l'épreuve devant les tribunaux : quelques mois plus tôt, le « Satoshi » autoproclamé Craig Wright avait remporté un procès en droit d'auteur au Royaume-Uni, forçant Bitcoin.org à retirer le livre blanc, avec un juge émettant une injonction interdisant à Cobra de violer le droit d'auteur de Wright au Royaume-Uni. La défense de Cobra pour préserver son anonymat était presque poétique : les règles du tribunal m'autorisaient à être poursuivi sous pseudonyme, mais je ne pouvais pas me défendre sous pseudonyme.
Le fait est que Bitcoin.org portait une confiance — le genre institutionnel qu'un mouvement sans chef n'est pas censé avoir, accumulée discrètement pendant treize ans. Cette confiance est précisément ce qui en a fait une cible. Une arnaque fonctionne d'autant mieux que son hôte est crédible. Et il y a très peu d'hôtes dans la crypto plus crédibles que le nom même de Bitcoin.
Il se cache ici une seconde ironie, encore plus cinglante. L'éthique entière de Bitcoin.org était l'auto-conservation : détenez vos propres clés, ne faites confiance à aucun dépositaire, vérifiez tout. Un visiteur qui avait pleinement intégré cette leçon n'aurait jamais envoyé ses coins vers le portefeuille d'un inconnu sur une promesse. Mais l'arnaque au cadeau ne leur demandait pas de faire confiance à un inconnu — elle leur demandait de faire confiance à Bitcoin.org lui-même, la seule adresse qu'on leur avait dit pendant des années être l'endroit sûr où commencer. L'attaque n'a pas contrecarré la leçon ; elle a détourné le messager.
Septembre 2021 : le détournement et le faux cadeau
Le matin du 23 septembre 2021, les visiteurs de Bitcoin.org n'ont pas vu de guides de portefeuilles. Ils ont vu une fenêtre modale surgir — une superposition propre et d'apparence officielle apposée sur la page d'accueil du site de référence le plus fiable de Bitcoin.
Le message était le plus vieux tour de passe-passe de la crypto, habillé d'une autorité empruntée. Il prétendait que la Bitcoin Foundation redonnait à la communauté, annonçait que l'offre était limitée aux 10 000 premiers utilisateurs, et faisait une promesse simple : Envoyez des Bitcoin à cette adresse, et nous vous enverrons le double en retour !. Un QR code rendait l'opération sans friction. Les mécanismes, comme CoinDesk l'a sèchement décrit pour ce genre, sont toujours les mêmes : ces schémas font de fausses promesses de doubler les fonds après l'envoi d'un montant initial vers une adresse de portefeuille via QR code. Et le résultat est toujours le même aussi : les victimes, en réalité, ne reçoivent rien en retour et perdent la crypto qu'elles ont envoyée.
Cobra a confirmé la violation publiquement et sans détour, publiant que le site a été compromis. En train d'enquêter sur la façon dont les pirates ont affiché le modal de l'arnaque sur le site.
Ce que les visiteurs ont perdu
Une arnaque « doublez votre argent » ne fonctionne que si quelques personnes y croient. Sur un site web aléatoire, presque personne ne le ferait. Sur Bitcoin.org, certains l'ont fait.
Le portefeuille de l'arnaque n'est pas resté vide. BleepingComputer a rapporté que le dernier solde mis à jour du portefeuille était de 0,40571238 BTC, soit environ 17 000 $ US. CoinDesk, le capturant en direct, a noté que l'adresse de l'arnaque au cadeau avait reçu plus de 17 700 $ en petites transactions au moment de la rédaction.
Dix-sept mille dollars, partis dans une fenêtre d'une nuit, dans une fraude contre laquelle le site hôte lui-même vous aurait mis en garde. Et rappelez-vous la partie la plus cruelle de la conception de Bitcoin : ces transactions sont définitives. Il n'y a pas de rétrofacturation, pas de service anti-fraude, pas de « appeler la banque ». L'irrévocabilité même qui rend Bitcoin puissant est ce qui a rendu la perte de chaque victime permanente à l'instant où ils ont scanné le code.
Le chiffre en dollars est presque secondaire. Les vrais dommages concernaient ce que Bitcoin.org avait mis treize ans à construire — la supposition que cette adresse, entre toutes les adresses, était sûre à approuver.
Comment cela s'est produit : une compromission DNS, pas une violation de serveur
Voici le détail qui fait de ceci une histoire de Domain Mayday et pas seulement une autre histoire de phishing : les attaquants n'ont jamais eu besoin de s'introduire dans les serveurs de Bitcoin.org.
Cobra était catégorique sur ce point. Le serveur d'origine, a-t-il dit, était intact — mon serveur réel n'a reçu aucun trafic pendant le piratage. L'attaque s'est plutôt produite une couche au-dessus, à la partie d'internet qui décide où pointe un nom de domaine. Les observateurs qui suivaient l'incident ont noté que les informations WHOIS ont été mises à jour au moment du piratage, les serveurs de noms + DNS ont changé. Une fois que vous contrôlez les serveurs de noms, vous contrôlez la réponse à la question « vers quel serveur pointe bitcoin.org ? » — et vous pouvez discrètement faire pointer un nom de confiance vers un serveur que vous possédez.
Le propre diagnostic de Cobra a imputé la faute à la couche DNS, et à un changement d'infrastructure récent. Comme il l'a formulé : Bitcoin.org n'a jamais été piraté. Et puis nous avons déménagé sur Cloudflare, et deux mois plus tard, nous nous faisons pirater. Sa théorie de travail était précise et accablante : les attaquants semblent simplement avoir exploité une faille dans le DNS. Decrypt a résumé la lecture dominante de la même façon : les attaquants ont exploité une faille dans la configuration DNS après que le site web ait migré vers Cloudflare deux mois auparavant.
Que la cause profonde ait été une mauvaise configuration, une compromission au niveau du bureau d'enregistrement, ou quelque chose chez le fournisseur DNS n'a jamais été clairement établi publiquement — CoinDesk a noté que la cause profonde du détournement du site web reste non confirmée, bien que certains aient suspecté un détournement DNS. Mais la forme de l'attaque est sans équivoque. L'application était saine. Le code était sain. Les clés étaient saines. Le nom a été détourné, et sur le web, contrôler le nom représente l'essentiel de la bataille.
Réaction et conséquences
La correction s'est également produite, de manière révélatrice, au niveau de la couche des domaines.
Le site ne pouvait pas simplement se « patcher » pour s'en sortir, parce que la version malveillante active de Bitcoin.org n'était pas servie depuis la vraie infrastructure de Bitcoin.org. Le moyen le plus rapide d'arrêter l'hémorragie était de retirer le domaine lui-même du service. Le bureau d'enregistrement, Namecheap, l'a fait exactement — selon BleepingComputer, nous avons temporairement désactivé le domaine. Pendant un moment, les visiteurs n'ont eu ni arnaque ni page d'accueil ; CoinDesk a rapporté qu'ils étaient accueillis par « Ce site est inaccessible. » La page de référence la plus fiable de Bitcoin s'est retrouvée dans le noir.
Après quelques heures d'enquête, le domaine a été correctement redirigé et le site a été restauré dans son état d'avant le piratage. La fenêtre a été courte — un jour ou moins — et en termes bruts, le vol était modeste selon les normes de la cybercriminalité crypto. Mais l'incident a eu un impact fort précisément en raison de quel site il s'agissait. Un mouvement qui se vante de « ne pas faire confiance, vérifier » venait de voir sa propre page canonique « faites-nous confiance » être utilisée de manière vérifiable contre ses utilisateurs.
Ce que cela nous apprend sur la dépendance de sites crypto-natifs envers le DNS
La leçon la plus inconfortable du détournement de Bitcoin.org est que le fait d'être crypto-natif vous protège de presque rien de tout cela.
Bitcoin est décentralisé. Son registre est notoirement difficile à falsifier. Ses clés, lorsqu'elles sont correctement détenues, vous appartiennent exclusivement. Rien de tout cela n'importait ici — parce que la porte d'entrée de tout cela était un nom de domaine parfaitement ordinaire, fonctionnant sur le même DNS, bureau d'enregistrement et infrastructure de serveurs de noms que n'importe quelle boutique de commerce en ligne ou boulangerie locale. La blockchain était intacte. Le site web était intouchable sur le plan qui comptait, mais le nom qui y pointait ne l'était pas.
Quelques enseignements durables émergent de cela :
-
Votre domaine fait partie de votre surface d'attaque — souvent la plus grande partie. Vous pouvez écrire un code sans failles, conserver vos clés en stockage froid, et renforcer chaque serveur, et un attaquant qui contrôle vos serveurs de noms ou votre compte de bureau d'enregistrement peut quand même vous usurper complètement. Le nom est la porte d'entrée, et un nom détourné permet à un étranger de répondre à votre place.
-
Les changements DNS/bureau d'enregistrement sont silencieux et à fort effet de levier. Quand les serveurs de noms + DNS ont changé, rien ne s'est « cassé » d'une façon que la plupart des systèmes de surveillance auraient immédiatement détectée — le site se chargeait toujours, juste depuis le mauvais endroit. Le verrouillage de bureau d'enregistrement, le verrouillage de registre, DNSSEC, et un contrôle d'accès strict sur les comptes de bureau d'enregistrement/fournisseur DNS ne sont pas une hygiène optionnelle ; ce sont les serrures sur la porte que tout le monde oublie.
-
La réputation est ce qui est réellement volé. Les attaquants ne voulaient pas vraiment le serveur à 17 000 $ de Bitcoin.org ; ils voulaient sa crédibilité, empruntée pendant quelques heures pour rendre croyable une arnaque ancienne. Plus votre domaine est fiable, plus il est précieux à détourner — et plus vous devez être prudent quant à qui peut changer l'endroit où il pointe.
-
Une infrastructure « sans confiance » repose quand même sur des noms de confiance. Même Bitcoin, l'exemple canonique de la suppression des intermédiaires, atteint ses utilisateurs via DNS — un système hiérarchique, intermédié et mutable. Décentraliser l'argent ne décentralise pas la porte d'entrée.
-
La vitesse de détection vaut mieux que l'élégance de la défense. Bitcoin.org a survécu à cela avec une perte modeste en grande partie parce que la communauté a repéré l'arnaque rapidement et que le bureau d'enregistrement a pu retirer le domaine en quelques heures. Plus longtemps un nom détourné continue à résoudre vers un attaquant, plus la perte — et les dommages de réputation — s'accumulent. Savoir à l'instant même que le contrôle ou le routage de votre nom change vaut plus que n'importe quel verrou statique.
L'angle Namefi
Le détournement de Bitcoin.org est, à sa racine, un problème de contrôle et de vérifiabilité. L'application était saine. La blockchain était saine. Ce qui a échoué, c'est la couche qui répond à une question trompeusement simple : qui contrôle légitimement ce nom, et où est-il autorisé à pointer ? Quand la réponse à cette question peut être silencieusement réécrite — serveurs de noms échangés, informations WHOIS mises à jour au moment du piratage — la confiance s'évapore quelle que soit la solidité du reste de la pile.
Namefi part de l'idée que la propriété et le contrôle des domaines devraient se comporter comme un actif de première classe, vérifiable et natif d'internet, plutôt que comme une entrée dans une base de données mutable qu'un attaquant peut silencieusement modifier. La propriété tokenisée et auditable rend la question « qui contrôle ce domaine, et ce contrôle vient-il de changer ? » répondable on-chain — transformant un échange silencieux de serveurs de noms en un événement visible et responsable, tout en restant compatible avec le DNS dont dépend le reste du web. Cela ne fait pas disparaître le DNS lui-même, mais rend le contrôle sur un nom plus difficile à détourner de manière invisible et plus facile à vérifier en continu.
Bitcoin.org a passé treize ans à enseigner au monde que le moment dangereux est celui où vous arrêtez de vérifier et commencez à faire confiance. Pendant quelques heures en septembre 2021, son propre domaine a prouvé la leçon à la dure. La leçon pour tous les autres est plus simple qu'il n'y paraît : votre domaine est votre identité sur internet — protégez le nom aussi soigneusement que vous protégez les clés derrière lui.
Sources et lectures complémentaires
- BleepingComputer — Bitcoin.org hackers steal $17,000 in 'double your cash' scam
- CoinDesk — Bitcoin.org Website Inaccessible After Being Hacked by Apparent Giveaway Scam
- Bitcoin.com News — Hackers Compromise Web Portal Bitcoin.org — DNS Hijack Replaces Site With BTC Doubler Scam
- Decrypt — Bitcoin.org Compromised, Fraudulent Crypto Giveaway Advertised
- Cointelegraph — Bitcoin.org goes offline after suffering scam attack
- CryptoPotato — BitcoinOrg Hacked: Giveaway Scam Promising Users to Double Their BTC
- NewsBTC — Bitcoin.org Hacked By Scammers For A Few Minutes. Someone Sent Them 0.4 BTC
- CoinDesk — UK Court Orders Bitcoin.org to Remove White Paper Following Craig Wright Lawsuit
- Wikipedia — Bitcoin (historique du domaine bitcoin.org)
À propos de l’auteur·rice
Guides connexes
- La Minute à 12 Dollars : Quand Quelqu'un a Discrètement Acheté Google.comEn septembre 2015, un ancien employé de Google a acheté google.com via Google Domains pour 12 dollars et a détenu le contrôle administratif du domaine le plus précieux au monde pendant environ une minute. L'histoire de Sanmay Ved, la prime de 6 006,13 dollars, et ce qu'une minute de propriété révèle sur celui qui contrôle vraiment un domaine.
- Domain Mayday EP03 : La prise de contrôle de comptes Twitter Bitcoin en 2020Le 15 juillet 2020, des attaquants ont infiltré Twitter par téléphone, détourné les comptes vérifiés d'Obama, Biden, Musk, Gates, Apple et Uber, et lancé une arnaque de doublement de Bitcoin — récoltant environ 118 000 dollars. Une analyse approfondie de la façon dont le contrôle d'une identité en ligne a été volé, et ce qu'elle enseigne sur la possession d'un nom.
- Domain Mayday EP05 : Le détournement massif de domaines DeFi sur Squarespace en 2024En juillet 2024, une migration de registrar de Google Domains vers Squarespace a transformé une authentification par défaut trop faible en une surface d'attaque massive. Des attaquants ont détourné les domaines de projets crypto et DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — et les ont redirigés vers des sites de phishing vidant les portefeuilles. Voici comment une migration « transparente » a créé des centaines de portes d'entrée non verrouillées, et ce qu'elle enseigne sur la sécurité des registrars et l'authentification multifacteur.
- L'attaque front-end de BadgerDAO : 120 millions de dollars siphonnés par un seul script injectéEn décembre 2021, des attaquants ont compromis le compte Cloudflare de BadgerDAO et injecté un seul script malveillant dans le front-end de son site web. Les contrats intelligents audités n'ont jamais été touchés — et pourtant, environ 120 millions de dollars sont partis via des approbations de portefeuilles signées à l'insu des utilisateurs. Une analyse approfondie expliquant pourquoi le site web fait partie de votre surface de sécurité.