Sécurité: générateur de clés privées compromis et faux portefeuilles cryptos

Linas Kmieliauskas
| 4 min read

Les chercheurs en sécurité viennent d’envoyer deux avertissements aux utilisateurs de cryptomonnaies concernant notamment les adresses qui ont été générées par WalletGenerator.net après août 2018. Ils demandent également d’être vigilant lorsque l’on télécharge une application de portefeuille sur la plateforme Google Play magasin.

Source: iStock/solarseven

“Si vous avez utilisé une clé privée générée sur WalletGenerator.net après le 17 août 2018, transférez immédiatement vos fonds à une adresse sécurisée”, a dit Harry Denley, chercheur en sécurité chez le fournisseur de portefeuille Ethereum MyCrypto.com dans un blog récent article de blog.

Selon lui, des modifications du code diffusées via WalletGenerator.net ont entraîné des doubles de paires de clés fournies aux utilisateurs. Ces paires de clés générées étaient également potentiellement stockées côté serveur.

Le chercheur a suggéré de créer une nouvelle paire de clés / portefeuille et de transférer vos fonds vers cette nouvelle adresse sécurisée.

“Certaines personnes ont recommandé l’utilisation de bitaddress (offline) via https://github.com/pointbiz/bitaddress.org,” Denley a ajouté que même si le comportement malveillant n’était pas encore détecté au 24 mai 2019, il pourrait se produire à tout moment.

“Dans cette tournure étrange des événements, nous ne savons toujours pas si le propriétaire actuel du site est la partie malveillante, si le serveur n’est pas sécurisé, ou les deux”, a déclaré le chercheur. WalletGenerator.net n’était pas disponible pour un commentaire immédiat.

Dans une vidéo ci-dessous, l’équipe à l’origine de la recherche a montré comment elle avait généré 1 000 clés et trouvé des groupes de clés en double.

En avril, WalletGenerator.net avait enregistré près de 145 780 visites, soit 307% de plus qu’en mars, selon la plateforme de veille stratégique numérique Similarweb.

Les interfaces de portefeuille papier constituent un outil pratique pour les utilisateurs afin de générer facilement une paire de clés privée / publique. Cependant non seulement les portefeuilles en papier sont moins sûrs que ce qu’il est parfois prétendu, mais ils nécessitent un niveau d’expertise technique et de contrôle qui dépasse les capacités de la plupart des non-spécialistes.

De fausse applications cryptos

Dans le même temps, Lukas Stefanko, chercheur en logiciels malveillants pour la société de sécurité informatique ESET, affirme que de fausses applications de cryptomonnaies “apparaissent sur Google Play lorsque le prix du bitcoin augmente.”

Parmi les fausses applications, il a mentionné une application imitant le portefeuille physique crypto Trezor et utilisant le nom “Portefeuille mobile Trezor”, tandis qu’un autre est l’application Coin Wallet. Au moment d’écrire ces lignes, les deux applications ne sont plus disponibles sur Google Play. Cependant, l’application Coin Wallet aurait été installée par plus de 1 000 utilisateurs.

Selon ESET et Trezor, la fausse application ne constituait pas une menace directe pour leurs utilisateurs. “Cependant, [Trezor] a exprimé sa crainte que les adresses e-mail collectées via de fausses applications telles que celle-ci ne soient utilisées par la suite pour des campagnes de phishing ciblant les utilisateurs de Trezor”, a déclaré Stefanko dans un article de blog.

Source: ESET

Dans le même temps, le but de la deuxième fausse application était “d’inciter les utilisateurs à transférer la cryptomonnaie dans le portefeuille des attaquants – un cas classique d’escroquerie d’adresse de portefeuille”.

“Si Bitcoin poursuit sa tendance de croissance, nous pouvons nous attendre à voir davantage d’applications frauduleuses de cryptomonnaies dans le magasin d’applications Android officiel et ailleurs”, a déclaré Stefanko, recommandant de s’en tenir à ces principes de sécurité de base:

  • Ne faites confiance aux applications liées à la cryptomonnaie et autres applications financières que si elles sont liées au site officiel du service.
  • N’entrez vos informations sensibles dans des formulaires en ligne que si vous êtes certain de leur sécurité et de leur légitimité.
  • Gardez votre appareil à jour.
  • Utilisez une solution de sécurité mobile réputée pour bloquer et éliminer les menaces.