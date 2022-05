Pour tout détenteur de crypto, stocker des fonds en toute sécurité est une préoccupation majeure qui nécessite des recherches et une planification. Les portefeuilles cryptomonnaies matériels sont généralement considérés comme le choix le plus sûr parmi les investisseurs en crypto-monnaie. Cela ne signifie toutefois pas que ces portefeuilles sont à l’abri de la fraude.

Le fabricant de portefeuilles matériels Ledger s’est prononcé contre les vulnérabilités de sécurité trouvées dans les portefeuilles Coinkite et Shapeshift, montrant comment leurs produits pourraient être attaqués. Dans le cas où quelqu’un mettrait la main sur le portefeuille physique, il pourrait peut-être trouver le code PIN. Bien que ces menaces aient été rapidement traitées par les entreprises, il existe encore d’autres moyens pour les acteurs malveillants d’accéder aux fonds des utilisateurs.

Une violation de données chez Mailchimp a récemment révélé une liste de diffusion d’utilisateurs appartenant à une autre société. Le service de marketing par e-mail a par la suite été poursuivi par l’un des utilisateurs. Une action en justice intentée par Alan Levinson allègue qu’il a perdu 82 000 $ en raison de données stockées par négligence.

Une escroquerie par hameçonnage similaire ciblant les utilisateurs de Trezor a été détectée par l’équipe anti-fraude de CoinLoan. Les pirates ont joint un lien vers une version contrefaite du site Web de Trezor à un e-mail reçu par un membre de l’équipe CoinLoan. Le but était de voler la phrase de départ et d’accéder aux portefeuilles des utilisateurs. Ce problème de sécurité a été rapidement résolu, évitant à de nombreux utilisateurs de portefeuilles Trezor de perdre leurs fonds. Cependant, ce cas souligne l’importance de traiter toutes les menaces de sécurité possibles en ce qui concerne les portefeuilles cryptomonnaies matériels.

Qu’est-ce qu’un portefeuille matériel ?

Tout d’abord, découvrons ce qu’est un portefeuille cryptomonnaie matériel. Contrairement aux portefeuilles numériques, les portefeuilles matériels sont des appareils physiques, un peu comme les clés USB. Les clés privées sont stockées hors ligne, ce qui les rend inaccessibles aux menaces en ligne. La communication directe des données avec l’ordinateur sur le matériel élimine le risque du logiciel vulnérable. De cette façon, les clés privées ne peuvent être utilisées et stockées que sur l’appareil et ne sont jamais stockées sur un ordinateur ou en ligne, ce qui les rend immunisées contre les virus et les piratages en ligne.

Les inconvénients de l’utilisation de portefeuilles matériels incluent des coûts initiaux supérieurs à ceux d’un logiciel de portefeuille numérique moyen. Les appareils de grands fabricants comme Trezor et Ledger coûtent entre 50 $ et 1 200 $. Pour que les utilisateurs utilisent leur matériel en toute sécurité, ils doivent également savoir comment le configurer. Les fonds peuvent être consultés par des parties malveillantes si le portefeuille est mal géré. Afin d’accéder à des données sensibles telles que des codes PIN ou des clés privées stockées dans un portefeuille matériel physique, les pirates peuvent utiliser les méthodes suivantes.

Vulnérabilités possibles

Attaque par canal latéral

Une attaque par canal latéral utilise un oscilloscope, un type d’appareil de test électronique. Il mesure la consommation électrique puis compare son comportement à des codes PIN aléatoires. L’analyse des mesures de chaque chiffre PIN permet de créer une base de données qui peut ensuite être utilisée avec un script pour deviner les chiffres un par un. Cette vulnérabilité a été détectée dans certains matériels Trezor et a depuis été corrigée.

Attaques logicielles

L’attaque d’un module de sécurité matériel (HSM) peut entraîner l’obtention des clés cryptomonnaies et d’autres données permettant d’accéder au portefeuille. Le logiciel contenu dans le portefeuille est analysé et rétro-conçu pour comprendre le fonctionnement de sa sécurité. Cette vulnérabilité dans les HSM populaires a été découverte par l’équipe Ledger. L’un des chercheurs a expliqué : « Les attaques présentées permettent de récupérer à distance tous les secrets HSM, y compris les clés cryptomonnaies et les informations d’identification de l’administrateur. »

Glissement de tension

Cette faille potentiellement fatale a été identifiée par Kraken Security Labs. Ils ont découvert que l’application d’une tension réduite à un microcontrôleur leur permettait de lire la RAM de la puce. Une fois le micrologiciel installé, la puce déplace la graine cryptomonnaie dans la RAM pour la protéger, accordant ainsi l’accès à tout le contenu de la mémoire.

Meilleures pratiques de sécurité

Alors que la plupart des vulnérabilités identifiées sont généralement corrigées par les fabricants, il existe peut-être plusieurs autres façons de pirater les appareils de portefeuille matériels actuels. La première étape pour que les utilisateurs se protègent est de garder leurs appareils dans un endroit sûr, loin de tout accès tiers. Une autre règle importante est de ne jamais partager d’informations sensibles telles que les clés privées, les codes PIN et les graines de récupération avec qui que ce soit.

La graine de récupération peut être sauvegardée en évitant de la taper ou de la stocker en ligne, de la prendre en photo ou de toute autre action susceptible de la compromettre. Il est préférable de simplement l’écrire et de la stocker dans un endroit sûr. De plus, il est crucial de ne communiquer avec le portefeuille qu’à l’aide d’un PC de confiance. Toute exposition en ligne au PC peut entraîner une vulnérabilité.

Même si bon nombre de ces techniques de piratage nécessitent un accès physique à l’appareil, il existe également une possibilité d’attaque par hameçonnage. Ils pourraient cibler les utilisateurs par e-mail, téléphone portable, réseaux sociaux, faux sites Web et applications de messagerie instantanée. Il s’agissait de l’escroquerie par e-mail découverte et empêchée par CoinLoan, évitant aux utilisateurs de Trezor d’en être victimes. Dans ce cas, la clé pour assurer la sécurité du portefeuille n’était pas seulement la vigilance des utilisateurs, mais aussi la réponse rapide des spécialistes de la détection des fraudes CoinLoan. Comme l’a commenté le CTO et co-fondateur Max Sapelov : « Cet incident met en lumière les risques inhérents associés aux portefeuilles (froids) non dépositaires, y compris les logiciels, les connexions à des fournisseurs tiers et les éventuelles fuites d’initiés. En revanche, les portefeuilles de garde tels que CoinLoan mettent souvent en œuvre une série de contrôles et de retenues qui empêchent les fraudeurs de a) accéder et b) déplacer ou retirer la crypto en cas de fuite. Les fournisseurs de services et les fabricants doivent toujours être attentifs aux éventuels piratages afin de protéger les utilisateurs qui pourraient ne pas être conscients de ces vulnérabilités.