La plus grande vulnérabilité des cryptos ? La signature aveugle
| Points clés : |
| – Suite à l’incroyable émergence de la DeFi et des dApps pour NFT, les utilisateurs interagissent avec les contrats intelligents de manière toujours plus complexe. Et les escrocs sont toujours à l’affût de nouvelles vulnérabilités. La signature aveugle est l’une des vulnérabilités les moins connues que les escrocs utilisent pour vous voler vos actifs. – Les contrats intelligents utilisés dans les dApps et les NFT actuels créent des challenges pour la génération actuelle de wallets de cryptos, car leur code (qui contient les détails essentiels du contrat) ne peut pas être entièrement extrait et affiché. Les utilisateurs signent ainsi sans savoir ce qu’ils signent. – Avec la généralisation des cryptos, de plus en plus de personnes comprennent mieux comment bien sécuriser leurs actifs, et les escrocs ont moins de possibilités d’accéder à vos actifs. Ainsi, au lieu d’essayer d’enfoncer la porte, ils comptent sur vous pour l’ouvrir à leur place en vous faisant signer aveuglément. – Chez Ledger, nous avons pour mission de rendre chacune de vos transactions absolument transparente et sécurisée. L’objectif est de vous permettre de lire à chaque signature les données du contrat avec lequel vous interagissez. Notre dernière mise à niveau rend cela possible. Pour chaque dApp intégrée, vous avez la possibilité de signer vos transactions en voyant tous les détails sur votre wallet. Bien que la signature aveugle soit toujours requise pour les dApps qui ne sont pas encore intégrées dans Ledger Live, vous pouvez le faire en toute sécurité en suivant ces étapes. |
Si vous avez entendu parler de la signature aveugle sans savoir précisément de quoi il s’agit, ne cherchez pas plus loin. Laissez-nous vous expliquer le concept.
Si vous lisez ceci, c’est que vous savez déjà que les cryptos ont le vent en poupe. Qu’il s’agisse de coins, de tokens ou de NFT, nous avons tous intérêt à assurer la sécurité de nos actifs. « Je sais ! », dites-vous. Ne jamais partager mes clés privées ou ma phrase de récupération avec qui que ce soit. C’est vrai, mais ce n’est pas la fin de l’histoire.
Suite à l’incroyable émergence de la DeFi et des dApps au sein de la cryptosphère, les utilisateurs interagissent avec les contrats intelligents de manière toujours plus complexe. Et les escrocs sont toujours à l’affût de nouvelles vulnérabilités dans le processus de transaction. Cela a naturellement donné naissance à une nouvelle génération d’arnaques conçues pour vous soutirer vos précieux crypto-actifs. Et ces arnaques peuvent aussi être difficiles à détecter, même pour les pros de la crypto.
La signature aveugle est l’une des vulnérabilités les moins connues que les escrocs utilisent pour vous voler vos actifs. Nous expliquons ici ce que c’est qu’une signature aveugle, comment fonctionnent les arnaques avec les signatures aveugles et comment les éviter.
Qu’est-ce que la signature aveugle ?
Avant d’aborder le fonctionnement numérique de ce concept, commençons par les bases de la communication écrite dans le monde réel. Les contrats ont pour but de régir nos relations. Qu’il s’agisse d’un contrat de travail vous demandant de travailler 40 heures par semaine ou d’un abonnement Netflix à payer chaque mois, lorsque vous signez un contrat, vous vous engagez à faire ce qu’il dit. En signant le contrat, vous indiquez que vous avez lu et compris les conditions et que vous acceptez de les respecter.
Signer un contrat numérique
Les contrats intelligents, (l’infrastructure qui fait fonctionner les dApps, les NFT et de nombreux éléments de la DeFi) en sont une version numérique. Supposons que vous empruntiez des cryptos à un prêteur et que vous vous engagiez à rembourser chaque mois un montant déterminé, avec des intérêts. Lorsque vous vérifiez l’accord à l’aide de votre clé privée, vous êtes en train d’apposer votre signature numérique sur le contrat intelligent.
Mais qu’en est-il si vous ne pouvez pas réellement voir le contrat ? Voilà qui nous ramène à notre question de départ.
Les contrats intelligents utilisés dans les dApps et les NFT actuels créent des challenges pour la génération actuelle de wallets de cryptos, car leur code (qui contient les détails essentiels du contrat) ne peut pas être entièrement extrait et affiché dans des termes compréhensibles par l’utilisateur. En d’autres termes, les wallets sont encore en train de rattraper le retard pris par rapport aux dernières options offertes aux consommateurs.
Alors, comment cela se présente-t-il pour moi ?
Prenons un exemple concret pour montrer comment cela affecte vos transactions. Tout d’abord, il convient de préciser que chaque fois que vous signez une transaction sur l’écran de votre ordinateur, techniquement, vous procédez à une signature aveugle.
Supposons que vous effectuiez une transaction par le biais d’un wallet applicatif uniquement : puisque votre écran (d’ordinateur ou d’appareil mobile) est connecté à Internet, il est vulnérable au piratage.. Cela signifie que l’écran qui affiche les détails de ce que vous signez ne peut jamais être totalement fiable, car il est toujours possible que cet écran ait été manipulé pour afficher de fausses informations, vous faisant signer toute autre chose. En confirmant votre transaction, vous effectuez alors une « signature aveugle », approuvant cette transaction en toute confiance.
En utilisant un wallet physique comme le Ledger Nano, vous éliminez ce risque. Votre wallet étant un outil sécurisé, hors ligne et ne pouvant être piraté, son écran affichera toujours les véritables détails d’une transaction. C’est pourquoi notre « Trusted Display » (Écran de confiance) est d’une aide précieuse pour vous permettre de savoir exactement quelle transaction vous autorisez.
Cependant, même si votre Nano affiche toujours des détails de transaction exacts, encore faut-il que ces détails soient disponibles. Ce qui n’est pas toujours le cas.
Supposons que vous ayez mis en place les bonnes mesures de sécurité et que vous effectuiez un échange en utilisant une combinaison de votre appareil Ledger et du wallet applicatif qui vous relie à la dApp. C’est super !
Mais, comme nous l’avons dit précédemment, la plupart des wallets applicatifs (les middlewares entre votre appareil et la dApp) sont incapables de lire et d’extraire complètement les détails du contrat intelligent avec lequel vous interagissez pour réaliser votre transaction.. Cela signifie que, même si vous utilisez votre appareil Ledger pour vérifier et approuver votre transaction, l’appareil sera incapable de vous montrer tous les détails, puisque le middleware lui-même n’a rien à lui transmettre.
Au lieu de cela, l’appareil affichera simplement « Data Present » (Données présentes), ce qui ne vous permettra pas de vérifier les détails clés tels que la valeur, le prix, l’adresse de bénéficiaire et autres, avant de confirmer. Voici comment cela se présente :
En l’absence de détails sur ce contrat, la seule option disponible est de vérifier votre transaction en faisant confiance. C’est pourquoi on parle de signature aveugle.
La signature aveugle, décrite de cette manière, constitue un risque… mais la plupart d’entre nous l’avons pourtant déjà fait. À quand remonte la dernière fois où vous avez lu le contrat d’utilisation d’un nouveau service auquel vous avez souscrit ? Le fait est que nos décisions reposent souvent sur la réputation de la partie avec laquelle nous effectuons une transaction.
La signature aveugle fait apparaître de nouveaux types de fraude
Avec la généralisation des cryptos, de plus en plus de personnes sont formées à la sécurisation de leurs actifs, et les escrocs ont moins de possibilités d’y accéder. Ainsi, au lieu d’essayer d’enfoncer la porte, ils comptent sur vous pour l’ouvrir à leur place.
Un excellent exemple en la matière concerne les airdrops de NFT sur des sites moins connus. L’explosion des NFT a provoqué une énorme demande pour ces actifs numériques, et les airdrops sont conçus pour tirer parti de cette euphorie. Mais avant d’effectuer une signature aveugle pour bénéficier d’un airdrop de NFT, réfléchissez : s’il ne s’agit pas d’une marque connue, pouvez-vous avoir l’assurance que la transaction que vous vérifiez est bien celle à laquelle vous pensez ?
Les messages privés sont un autre moyen de prédilection utilisé pour ce type d’arnaque. Lors d’un incident récent, des escrocs ont réussi à se faire passer pour des administrateurs d’OpenSea sur Discord. Un collectionneur expérimenté qui avait besoin d’assistance technique a entamé une conversation sur son compte, croyant s’adresser à un conseiller technique. Au cours de la discussion, le conseiller lui a demandé d’approuver une transaction sur son Ledger Nano, sans afficher le moindre détail relatif au contrat. Malheureusement, la transaction qu’il vérifiait permettait d’accéder à son coffre-fort numérique. Oui, le conseiller était en réalité un escroc, c’était en fait une arnaque.
Il s’agit d’un exemple parfait montrant que même un utilisateur de cryptos expérimenté peut commettre une erreur, lorsque les circonstances sont suffisamment convaincantes.
Adopter l’approche zéro confiance, toujours vérifier
Les arnaques de cette nature reposent sur l’ingénierie sociale. Les escrocs se spécialisent dans la création méticuleuse d’un environnement dans lequel vous leur faites suffisamment confiance pour laisser tomber la garde. Dans ce cas, la victime a fait confiance à une transaction aveugle parce qu’elle pensait avoir affaire à un agent d’assistance légitime.
Et ce type d’arnaque devient de plus en plus courant, car la rapidité des avancées a fait de la signature aveugle une norme du secteur. Il est temps pour les outils de rattraper leur retard.
Comment utiliser les dApps avec une vraie tranquillité d’esprit ?
Chez Ledger, nous avons pour mission de rendre chacune de vos transactions absolument transparente et sécurisée. L’objectif est de vous permettre de lire à chaque signature les données du contrat avec lequel vous interagissez. Notre dernière mise à niveau rend cela possible. Pour chaque dApp intégrée, vous avez la possibilité de signer les transactions après avoir vérifié tous les détails sur votre wallet. Cela élimine la vulnérabilité à laquelle sont exposés les utilisateurs et leur offre l’expérience la plus sûre et fluide possible.
Notre mise à jour apporte deux grandes améliorations qui rendent cela possible. Déjà, votre Nano peut désormais lire et afficher les informations relatives aux contrats intelligents, pour un large éventail de dApps. De plus, le lancement récent de notre Catalogue d’apps Live dans Ledger Live vous permet d’accéder à de nombreux services de la DeFi et de dApps, tout en bénéficiant de la sécurité de votre appareil Ledger. Cela vous permet d’utiliser l’écosystème de Ledger comme une passerelle sécurisée vers les dApps et les services que vous adorez.
Faisons de la signature aveugle un lointain souvenir !
Considérons par exemple une transaction avec ParaSwap, juste pour comprendre ce que cela vous apporte :
Pour revenir à l’exemple pris plus haut, au lieu d’afficher simplement « Data Present » (Données présentes), le Nano peut afficher tous les détails de la transaction, grâce à la sécurité absolue de son Écran de confiance. Ainsi, au lieu de faire confiance aveuglément, vous pouvez désormais vérifier.
Avec de nouvelles intégrations en continu, le Catalogue d’apps Live de Ledger est à la tête du secteur de la sécurité des dApps.
Que faire si la dApp dont j’ai besoin n’est pas intégrée ?
Ledger Live est une plateforme open source et ouverte. Grâce à cela, quel que soit votre projet, vous pouvez écrire votre propre plugin pour rendre la dApp compatible avec Ledger Live et permettre à vos utilisateurs de vérifier leurs signatures. Alors pourquoi attendre ?
Dans l’intervalle, pendant que nos intégrations se développent, nous comprenons que certaines transactions nécessitent toujours un wallet intermédiaire. Si vous vérifiez vos transactions par le biais de middlewares, il se peut que l’on vous demande encore de procéder à une signature aveugle. Même si c’est le cas, il existe un certain nombre de mesures que vous pouvez prendre pour réduire le risque d’être victime d’une arnaque.
- N’utilisez pas de dApps dont vous n’avez jamais entendu parler auparavant. Vérifiez toujours soigneusement leur authenticité.
- Méfiez-vous des messages privés sur les réseaux sociaux : si une personne que vous ne connaissez pas vous contacte avec insistance, demandez-vous pourquoi. Rappelez-vous, il peut s’agir de n’importe qui (ne cliquez pas sur les liens fournis).
- Quel que soit le type de transaction effectuée, le Ledger Nano reste très utile pour garder vos clés privées hors ligne en permanence. En l’utilisant, vous ajoutez une couche de sécurité à toutes vos interactions.
- Et bien sûr, ne partagez jamais votre phrase de récupération avec qui que ce soit. Ne la sauvegardez pas sur un appareil connecté à Internet et ne la saisissez pas dans un wallet applicatif. Votre phrase de récupération ne doit être saisie que dans votre appareil Ledger. Nous ne le répéterons jamais assez !
Le contrôleur d’accès, c’est vous
La signature aveugle présente deux éléments : il s’agit d’une faille technologique qui invite à l’erreur humaine. C’est pourquoi il est plus que capital de faire preuve de bon sens.
Peu importe à quel point votre wallet est sophistiqué, vous êtes le dernier maillon de défense qui protège vos crypto-actifs. Mais en vous permettant de vérifier chaque détail de la transaction, le Catalogue d’apps Live sans cesse croissant de Ledger vous offre la possibilité de profiter des incroyables nouvelles options offertes par les cryptos, sans vous en remettre aux aléas de la chance.
Pour en savoir plus sur les arnaques de cryptos et comment les éviter, regardez notre épisode School of Block intitulé Dans la tête d’un escroc.