Les phrases d’amorçage, une combinaison aléatoire de mots provenant de la liste de 2 048 mots du protocole d’amélioration du bitcoin (BIP), constituent l’une des principales couches de sécurité contre l’accès non autorisé aux avoirs en cryptomonnaie d’un utilisateur. Mais que se passe-t-il lorsque la saisie prédictive de votre téléphone “intelligent” se souvient de ces mots et les suggère la prochaine fois que vous essayez d’accéder à votre portefeuille numérique ?
Andre, un professionnel de l’informatique allemand de 33 ans, a récemment publié un message sur le subreddit r/CryptoCurrency après avoir découvert la capacité de son téléphone portable à prédire l’intégralité de sa phrase de semence de récupération dès qu’il a tapé le premier mot.
Comme un avertissement juste pour les autres Redditors et les amateurs de crypto-monnaies, le post d’Andre a mis en évidence la facilité avec laquelle les pirates peuvent utiliser la fonctionnalité pour drainer les fonds d’un utilisateur juste en étant capable de taper le premier mot de la liste BIP 39 :
“Cela rend l’attaque facile, mettez la main sur un téléphone, démarrez n’importe quelle application de chat, et commencez à taper n’importe quel mot de la liste BIP39, et voyez ce que le téléphone suggère.”
S’adressant à Cointelegraph, Andre – connu sous le nom de u/Divinux sur Reddit – a partagé son choc lorsqu’il a fait l’expérience pour la première fois de son téléphone devinant acurément la phrase de semence de 12 à 24 mots. “Tout d’abord, j’ai été stupéfait. Les deux premiers mots pourraient être une coïncidence, non ?”
En tant qu’individu féru de technologie, l’investisseur allemand en crypto-monnaies a pu reproduire le scénario dans lequel son téléphone portable pouvait prédire avec précision les phrases de départ. Après avoir réalisé l’impact possible de cette information si elle tombait entre de mauvaises mains, “j’ai pensé que je devais en parler aux gens. Je suis sûr qu’il y a d’autres personnes qui ont aussi tapé des graines dans leur téléphone.”
Les expériences d’Andre ont confirmé que le GBoard de Google était le moins vulnérable, car le logiciel ne prédisait pas chaque mot dans le bon ordre. Cependant, le clavier Swiftkey de Microsoft était capable de prédire la phrase de semence dès le départ. Le clavier Samsung, lui aussi, peut prédire les mots si les fonctions “remplacement automatique” et “suggestion de corrections de texte” ont été activées manuellement.
Le premier contact d’Andre avec les crypto-monnaies remonte à 2015, lorsqu’il s’en est momentanément désintéressé jusqu’à ce qu’il réalise qu’il pouvait acheter des biens et des services en utilisant le bitcoin (BTC) et d’autres crypto-monnaies. Sa stratégie d’investissement consiste à acheter et à jalonner des BTC et des altcoins tels que Terra’s LUNA, Algorand’s ALGO et Tezos’s XTZ, puis “à faire de la moyenne d’achat en BTC quand/s’ils sont dans la lune.” Ce professionnel de l’informatique développe également ses propres pièces et jetons en tant que hobby.
Selon Andre, une mesure de sécurité contre d’éventuels piratages consiste à stocker les avoirs importants et à long terme dans un portefeuille matériel. Aux Redditors du monde entier, il a conseillé : “Pas vos clés, pas vos pièces, faites vos propres recherches, ne faites pas de FOMO, n’investissez jamais plus que ce que vous êtes prêt à perdre, vérifiez toujours deux fois l’adresse à laquelle vous envoyez, envoyez toujours un petit montant au préalable et désactivez vos MP dans les paramètres”, concluant :
“Faites-vous une faveur et empêchez que cela se produise en vidant le cache de votre type prédictif.”
La société de sécurité blockchain PeckShield a récemment mis en garde la communauté cryptographique contre un grand nombre de sites de phishing ciblant les utilisateurs de l’application de style de vie Web3 STEPN.
#PeckShieldAlert #phishing PeckShield has detected a bath of @Stepnofficial phishing sites. They insert a false Metamask browser extension leading to stealing your seed phrase or prompt you to connect your wallets or “Claim” giveaway. @Metamask @Coinbase @WalletConnect @phantom pic.twitter.com/cmWUcprMAN
— PeckShieldAlert (@PeckShieldAlert) April 25, 2022
Comme l’a rapporté Cointelegraph, selon les conclusions de PechShield, les pirates insèrent un faux plugin de navigateur MetaMask grâce auquel ils peuvent voler les phrases d’amorçage des utilisateurs de STEPN sans méfiance.
L’accès à la phrase d’amorçage garantit un contrôle total des fonds cryptographiques de l’utilisateur via le tableau de bord STEPN.
