Sécurité crypto : le piège classique qui coûte cher – Perdre 80 000 dollars en 2 minutes

Ne faites pas confiance par défaut. Vérifiez ! – L’histoire que nous vous relatons aujourd’hui montre bien que liberté rime avec responsabilité. Un utilisateur de cryptomonnaies, pourtant aguerri, a perdu 80 000 dollars suite à une erreur banale.

Agir dans la précipitation : la porte ouverte au phishing (hameçonnage)

Le protagoniste du crypto-drame s’appelle Yaniv. Utilisateur de Bitcoin depuis 2013, il a une bonne compréhension des systèmes décentralisés. Fort de 7 ans d’expérience dans les cryptos, il fait partie de ceux qui les manipulent sur une base quasi quotidienne. Un profil peu enclin à être victime d’une tentative de phishing, et pourtant… Une simple erreur d’inattention lui aura coûté la modique somme de 80 000 dollars en ethers et en NEO.

Yaniv avait stocké ces cryptos sur son hardware wallet Trezor. Ayant quelques petits problèmes avec ce dernier, il décida de transférer ses coins sur un wallet mobile, celui d’Exodus.

Mais Yaniv n’avait jamais installé l’application Android d’Exodus. Dans sa précipitation, il sélectionna la première app disponible sur Google Play, qui semblait correspondre en tout point au wallet désiré.

Malheureusement, il s’agissait d’une application frauduleuse. Les malfaiteurs avaient imité le logo d’Exodus et reproduit l’interface du wallet à l’identique.

Pour transférer ses ETH et ses NEO, Yaniv a donc inséré ses clefs privées dans le faux wallet. En deux minutes, il n’a pu que se rendre à l’évidence : les fonds avaient disparu.

Ethereum phishing
Les fonds en ETH dérobés – Etherscan/CryptoPotato

Se protéger des applications malveillantes

Nous parlons donc bien ici d’une erreur d’inattention très coûteuse. Les nombreuses années d’expérience n’ont pas protégé notre crypto-enthousiaste malchanceux du piège. Pourtant, s’il avait pris le temps d’observer les détails de l’application qu’il s’apprêtait à installer, rien de tout ceci ne serait arrivé.

Il faut avoir à l’esprit un dicton bien connu de la cryptosphère : don’t trust, verify. Même si la fonction de recherche de Google Play ou de l’Apple Store nous renvoie vers une application qui semble en tous points authentique, il faut le vérifier nous-mêmes. Pour cela, l’utilisateur doit veiller à observer les détails de l’app sous toutes les coutures. Si c’est assez facile lorsque l’on installe une extension sur son navigateur, en comparant son identifiant avec celui qui est fourni sur son site officiel, c’est un peu plus compliqué sur mobile.

Il y a cependant des signes qui ne trompent pas : si le nombre de téléchargements et d’avis est très faible, il s’agit d’un clone malicieux. Il faut également penser à bien vérifier que la date de sortie de l’application est bien la bonne. Dans le cas de Yaniv, l’app frauduleuse ne présentait qu’un millier de téléchargements, tandis que le wallet Exodus officiel a été téléchargé plus de 100 000 fois. Les 16 000 avis des utilisateurs sont très positifs, tandis que les quelques dizaines d’avis présents sur l’app factice mettaient en garde contre la supercherie.

Avis négatifs fake wallet Exodus phishing

Bien entendu, Google Play a depuis lors retiré cette application.

Yaniv ne sait pas s’il reverra ses fonds. Les pirates les ont déplacés vers la plateforme de change KuCoin, une des rares à ne pas nécessiter d’identification client (KYC) pour ses utilisateurs. Il a cependant tenu à rendre son histoire publique, pour alerter les nouveaux utilisateurs de cryptomonnaies. Personne n’est à l’abri de ce type d’erreur, même les utilisateurs chevronnés !

Morgan Phuc

Cofounder @ 8Decimals & Partner @ Node Guardians - Making crypto great again - Journal du Coin / BitConseil