Piratage classique dans les cryptos : « Cliquez sur ce lien ! »

Débutant Déc 20, 2020 · 4 min de lecture

attaque logiciel malveillant
Points clés :
— Il est possible d’installer un logiciel malveillant sur un ordinateur ou un smartphone aussi facilement qu’en cliquant sur un lien dans un email, sur des bannières ou des SMS, sans même que la victime ne s’en aperçoive.
— Cela confère au pirate un contrôle total sur l’ordinateur ou le smartphone. Ce type de piratage est couramment rencontré dans l’univers des cryptos.
— Si vos clés privées sont stockées en ligne ou sur votre smartphone, vos cryptos se retrouvent alors à la merci du pirate.
— Grâce aux wallets physiques, ces risques appartiennent au passé : ces dispositifs protègent votre phrase de récupération des attaques logicielles et physiques. Impossible pour un logiciel malveillant installé sur un smartphone de retrouver la phrase de récupération stockée sur un wallet physique.

Comme vous conservez vous-même vos cryptos, vous êtes responsable de leur sécurité. Ainsi, plus vous en savez sur les arnaques, mieux c’est. Parlons à présent d’un piratage couramment observé dans l’univers des cryptos.


Si l’altération physique d’un smartphone requiert davantage de complexité (c’est-à-dire un vol physique), les logiciels malveillants constituent l’option la plus attrayante pour un pirate. Dans bien des cas, un logiciel malveillant est plus intimidant que n’importe quel logiciel gênant qui ralentit votre navigation sur le Web. Le pirate exploite les vulnérabilités du système d’exploitation pour installer un logiciel malveillant.

Qu’est-ce qu’un logiciel malveillant ?

Un logiciel malveillant est un programme dissimulé par des liens en apparence inoffensifs se trouvant dans des emails, des bannières publicitaires et des SMS. Les pirates recourent notamment aux techniques d’ingénierie sociale pour installer un logiciel malveillant : la victime est incitée à installer un tel logiciel sur son ordinateur (c’est-à-dire qu’elle clique sur un lien et accepte d’installer un logiciel). Les pirates peuvent également exploiter les vulnérabilités d’un logiciel, celles d’un navigateur par exemple, ce qui leur permet d’installer le logiciel malveillant sans le consentement de la victime.

Les conséquences

Le pirate peut exploiter ces vulnérabilités afin de disposer d’un contrôle total sur le smartphone ou l’ordinateur, et ainsi accéder aux données sensibles. Il peut par ailleurs réinitialiser les comptes (par exemple, la suite bureautique Google), en prenant le contrôle de l’ordinateur. Ainsi, les cryptos de l’utilisateur se retrouvent à la merci du pirate si les mots de passe et les clés privées sont stockées dans ces comptes en ligne.

Si le fait que les mots de passe n’y soient pas toujours stockés peut donner un peu d’espoir, le pirate peut réinitialiser le mot de passe de l’application / du compte. Il lui suffit pour cela d’accéder à la boîte de messagerie pour valider le nouveau mot de passe. Ensuite, afin de transférer toutes les cryptos vers sa propre adresse, le pirate peut initier un envoi de fonds. La 2FA (identification à deux facteurs) envoyée par SMS sera nécessaire pour valider la transaction. Si le pirate a jeté son dévolu sur un smartphone, il peut alors accéder aux SMS et transférer l’intégralité des cryptomonnaies sur ses comptes.

Les différents types de logiciels malveillants

De nombreux types de logiciels malveillants se tapissent dans l’ombre en permanence et l’entreprise des pirates aboutit, jusqu’à ce qu’ils soient finalement détectés, comme récemment avec le faux logiciel de trading de cryptos UnionCryptoTrader.dmg, qui a infecté des appareils fonctionnant sous Mac OS.

C’est leur fonctionnement silencieux en arrière-plan de l’ordinateur ou du smartphone qui constitue l’élément redoutable de ces attaques, et la raison pour laquelle elles sont si difficiles à détecter. Les utilisateurs se rendent très rarement compte que quelque chose ne va pas, jusqu’à ce que leurs fonds disparaissent. Par exemple, dans le cas de la vulnérabilité UnionCryptoTrader.dmg, le logiciel malveillant était « sans fichier ». Il s’intégrait dans la mémoire de l’appareil, sans jamais interagir avec les fichiers ou les disques. Cette particularité lui a permis de passer les mailles du filet de nombreuses applications spécialement dédiées à la détection des logiciels malveillants suite à des interactions avec des disques ou des fichiers.

La combinaison de l’ingénierie sociale auprès des collaborateurs des plateformes d’échange de cryptos, avec des logiciels malveillants intégrés dans des liens figurant dans des courriers électroniques (appelés attaques de phishing, ou hameçonnage), constitue également une vulnérabilité potentielle de certaines plateformes d’échange de cryptos.

Plus précisément, certaines plateformes d’échange ont déjoué des tentatives de piratage qui utilisaient une telle méthode au début de l’année. Des pirates tentaient d’accéder aux emails et aux mots de passe de collaborateurs par le biais d’un logiciel malveillant de hameçonnage. Cependant, la série de piratages réussis de plateformes d’échange de cryptos, qui a fait grand bruit, montre que toutes les plateformes n’ont pas fait preuve d’autant d’habileté dans leurs pratiques en matière de cybersécurité.

Ce n’est pas parce que les attaques de hameçonnage ne sont pas très répandues dans le cas des plateformes d’échange que le risque qu’elles représentent doit être négligé. Les menaces visant les plateformes d’échange de cryptos et leurs utilisateurs deviendront probablement plus sophistiquées au fil de l’adaptation des mesures de sécurité aux approches multidimensionnelles.

Les attaques hybrides nécessitent des réactions simultanées à plusieurs failles de sécurité, y compris la confiance dans une tierce partie. Rien ne garantit aux utilisateurs que les actifs qu’ils stockent sur une plateforme d’échange sont en sécurité. Il vous faut donc prendre les précautions nécessaires pour qu’ils le soient.

Et c’est là que les wallets physiques entrent en jeu : le mot d’ordre est de ne pas faire confiance, mais de toujours vérifier.

Ces dispositifs atténuent les risques.

Les wallets physiques évitent ce type de piratage en interposant une barrière supplémentaire au déblocage des fonds qui s’y trouvent. Il est impossible d’envoyer les actifs d’un utilisateur à partir d’un appareil Ledger, à moins qu’il ne soit connecté « physiquement » à l’ordinateur et que l’utilisateur vérifie la transaction, à la fois sur l’ordinateur et sur l’appareil. Si un logiciel malveillant contrôle votre appareil, il ne peut contrôler votre wallet Ledger, même si celui-ci est connecté à l’ordinateur.

Les wallets physiques protègent la phrase de récupération des attaques logicielles et physiques. Impossible pour un logiciel malveillant installé sur un smartphone de retrouver la phrase de récupération stockée sur un wallet physique.

N’oubliez pas : si les adresses affichées sur l’ordinateur / le téléphone et l’appareil ne concordent pas, vous pouvez faire face à une tentative de piratage. Les informations détaillées relatives à la transaction que vous êtes sur le point d’initier sont affichées sur votre wallet physique. Il est bien plus complexe de corrompre un wallet physique qu’un ordinateur, qui lui est vulnérable aux caprices de l’Internet public. Il constitue ainsi votre première ligne de défense contre ce type de piratage.

Combiné à l’identification 2FA et aux protocoles à signatures multiples des plateformes d’échange, le « stockage non connecté à Internet » auquel recourent les wallets physiques constitue le mode de stockage le plus courant d’une grande majorité de plateformes d’échange et de conservation… et ce n’est pas pour rien. Les investisseurs doivent également opter pour ce type de stockage.

Les appareils jouent le rôle de gardiens contre la fraude physique et numérique. Les autres modes de stockage n’offrent pas de pareilles mesures de sécurité.

Le savoir, c’est le pouvoir.

Ayez confiance en vous et continuez à apprendre ! Si vous avez soif d’apprendre de nouvelles choses sur les cryptos et la blockchain, regardez notre vidéo School of Block Tout savoir sur les Social Tokens.

Article connexe

Partager cet article

Restons en contact

Retrouvez les annonces sur notre blog. Contact presse :
[email protected]

Abonnez-vous à notre
newsletter

Recevez nos derniers articles de blog, offres exclusives et nouvelles cryptos prises en charge directement par email.