Trust Wallet alerte d’une faille « 0-day » sur iMessage : qu’en est-il vraiment ?
Panique sur iOS. Parmi les failles qui peuvent exister, les 0-day (zero-day) sont de loin les plus effrayantes. Il s’agit de failles qui sont inconnues des développeurs et dont on ne sait pas depuis quand elles sont présentes. Elles sont la plupart du temps découvertes alors qu’elles ont potentiellement déjà été exploitées. C’est l’une de ces failles que Trust Wallet pense avoir découvert dans l’application iMessage d’iOS.
Une faille 0-day sur iMessage en vente sur le Dark Web
Lundi 15 avril, Trust Wallet, un acteur éminent dans le monde des portefeuilles crypto a tiré la sonnette d’alarme sur le réseau social X (anciennement Twitter). Ainsi, l’entreprise a dévoilé avoir eu vent d’une faille 0-day affectant l’application de messagerie iMessage.
« ⚠️ Alerte pour les utilisateurs d’iOS : Nous disposons d’informations crédibles concernant un exploit zero-day à haut risque ciblant iMessage sur le Dark Web. »
D’après l’annonce, cette faille permettrait à un hacker de s’infiltrer dans votre iPhone, et ce, sans même que vous ayez au préalable cliqué sur un lien.
Peu après, Eowyn Chen, le CEO de Trust Wallet a par la suite ajouté que la faille serait actuellement en vente sur le Dark Web pour la somme de 2 millions de dollars. Pour rappel, le Dark Web, est une zone d’internet inaccessible via les navigateurs web standards.
Bien que ce soit Trust Wallet qui ait tiré la sonnette d’alarme, cette faille n’est pas spécifique à ce wallet. En effet, elle affecterait, semble-t-il, tous les iPhone, et pourrait impacter négativement les détenteurs de crypto.
Fausse alerte ou réel risque ?
Évidemment, cette annonce a fait l’effet d’une bombe. Ainsi, de nombreux sceptiques ont reproché à Trust Wallet de céder à la panique, notamment face au manque de preuves concernant cette faille. C’est notamment le cas de @beausecurity, responsable de la sécurité pour le projet Pudgy Penguins :
« Vous n’avez pas de preuve d’un exploit iOS, vous avez une capture d’écran d’un gars qui prétend avoir un exploit. Énorme différence. »
0xFoobar a également reproché le manque de preuves à Trust Wallet. Il a par la suite partagé une publication de Kerberus Sentinel, une extension spécialisée dans la sécurité Web3.
Ainsi, selon Kerberus Sentinel, la menace semble peu probable. En effet, après avoir analysé le code source du site web utilisé pour vendre cette fameuse faille 0-day, ils ont identifié de nombreuses parties du code générées par ChatGPT.
« Donc… un hacker qui a trouvé un incroyable 0-day a besoin de ChatGPT pour faire son site. Il est clair que c’est un faux. Et il en va de même pour tous les autres grands noms dont les 0-days sont annoncés. »
De son côté, la société Apple n’a effectué aucune communication à ce sujet. Bien que l’information initialement partagée par Trust Wallet soit peu probable, nous allons scruter attentivement toute potentielle annonce de la part d’Apple dans les jours à venir.
Rappels de sécurité
Que cette faille existe ou non, cela semble être la bonne occasion pour quelques rappels de sécurité.
Afin que vos fonds ne soient pas drainés via ce type d’attaque, ou bien via des attaques phishing qui connaissent une recrudescence ces derniers mois, il est primordial d’appliquer quelques mesures simples de sécurité.
D’une part, les wallets mobiles ne sont pas faits pour stocker de larges quantités de fonds. Pour cela, vous pouvez vous tourner vers des hardware wallets et autres cold wallets.
Il en va d’ailleurs de même pour les wallets desktop et les extensions de navigateurs telles que MetaMask ou Rabby. Ils sont faits pour utiliser les protocoles DeFi et non pour stocker vos cryptomonnaies. Si vous stockez la majorité de votre capital crypto sur ce type de wallet, vous prenez un énorme risque.
Dans le pire des cas, si vous ne souhaitez/pouvez pas acheter de hardware wallet, vous pouvez toujours avoir recours à un ancien téléphone mobile ou ordinateur. Cependant, celui-ci doit uniquement être utilisé pour vos activités crypto. Dans le meilleur des mondes, cet appareil doit toujours rester déconnecté d’internet. Évidemment, il faut bien prendre le soin de remettre intégralement l’appareil à zéro avant de l’utiliser à cette fin.
Cela semble logique, mais ne stockez jamais vos clés privées et autres seed phrases en clair sur votre ordinateur.
La sécurité de vos cryptomonnaies ne doit pas être prise à la légère. Chaque jour, des utilisateurs cliquent sur les mauvais liens, téléchargent des logiciels vérolés et se font siphonner les wallets qu’ils ont mis des mois, voire des années à alimenter. Cela arrive même aux développeurs impliqués dans le code de Bitcoin, alors ne pensez pas être immunisé.