6 moyens utilisés par les pirates pour voler vos cryptomonnaies : comment vous protéger

Au début du mois de juillet, il a été notifié sur le site d’aide informatique Bleeping Computer qu’un virus ciblerait pas loin de 2.3 millions de wallets Bitcoin, dans le but d’y vider les portefeuilles des utilisateurs. Les pirates utiliseraient un malware – connu sous le nom de « Clipboard Hijackers » (pirate de presse-papier) – qui opère dans le presse papier de l’ordinateur en remplaçant l’adresse bitcoin receveuse insérée lors de l’envoie par l’adresse des pirates.

Ce genre de menace avait déjà été prédit par Kaspersky Lab dès le mois de novembre 2017. Pour l’instant il s’agit de l’un des types d’attaques les plus répandus visant à voler les informations ou les fonds des utilisateurs. La part globale des attaques sur des portefeuilles individuels étant estimée à 20 % du nombre total d’attaques de « logiciels malveillants ». Parallèlement à cela CoinTelegraph a publié en juillet dernier un rapport de Kaspersky Lab, selon lequel des criminels ont pu voler plus de 9 millions de dollars en Ethereum (ETH) grâce à des programmes d’ingénierie sociale au cours de l’année écoulée.

Camembert représentatif des cibles les plus fréquentes de piratage; source : Carbon Black

Bref aperçu du problème

Sleeping Computer, travaillant à l’amélioration des connaissances informatiques, écrit sur l’importance de suivre au moins quelques règles de base afin d’assurer un niveau de protection suffisant :

« La plupart des problèmes de support technique ne sont pas liés à l’ordinateur, mais au fait que l’utilisateur ne connaît pas les « concepts de base » qui sous-tendent tous les aspects de l’informatique. Ces concepts comprennent le matériel, les fichiers et dossiers, les systèmes d’exploitation, l’Internet et les applications. »

Le même point de vue est partagé par de nombreux experts en cryptodevises. L’un d’entre eux, Ouriel Ohayon – investisseur et entrepreneur – met l’accent sur la responsabilité personnelle des utilisateurs via un thread sur Hackernoon :

« Oui, vous êtes en contrôle de vos propres actifs, mais le prix à payer est que vous êtes responsable de votre propre sécurité. Et comme la plupart des gens ne sont pas des experts en sécurité, ils sont très souvent exposés – sans le savoir. Je suis toujours étonné de voir autour de moi combien de gens, même les plus avisés, ne prennent pas les mesures de sécurité de base. »

Selon Lex Sokolin – directeur de la stratégie fintech chez Autonomous Research :

« Chaque année, des milliers de personnes sont victimes de phishing (sites d’hameçonnage), envoyant volontairement des centaines de millions de dollars en cryptomonnaie, qui ne sont jamais retrouvés ».

En réalité la majorité du temps lors d’un piratage informatique, la faille n’est pas informatique – ou du moins pas que – elle est humaine! Voyons maintenant quels sont les différents types d’attaques qu’un hodler pourrait rencontrer, et comment il pourrait s’en protéger !

250 millions de victimes potentielles

Une étude menée par la société américaine Foley & Lardner a révélé que 71 % des grands crypto traders et des investisseurs considèrent le vol des cryptomonnaies comme étant le plus gros risque affectant négativement le marché. 31 % des personnes interrogées estiment que la menace que représente les pirates informatiques pour l’industrie crypto est très élevée.

Représentation en pourcentage des degrés de crainte des investisseurs vis à vis de risques donnés ; source : Foley & Lardner

Certains experts sur Hackernoon ont analysé plusieurs données concernant les piratages crypto de l’année 2017.

Ils ont recensé 3 catégories :

Attaques sur les blockchains, les exchanges et les ICOs,
Distribution de logiciels pour l’exploitation minière cachée,
Attaques dirigées directement contre des portefeuilles utilisateurs.

Bien que l’article « Smart Hacking Tricks » publié par Hackernoon ne semble pas avoir fait l’unanimité des lecteurs, peut-être parce que les « tricks » expliqués sont considérés comme trop basiques pour la majorité de la communauté, ce genre d’articles devrait être traduit et retranscrit dans plusieurs langues, encore et encore, car le nombre de crypto-holders devrait atteindre pas loin de 250 millions d’ici 2024.

De plus, selon une étude menée par ING Bank NV et Ipsos – qui n’a pas pris en compte l’Asie de l’Est dans l’étude environ 9 % des Européens et 8 % des résidents américains possèdent des cryptomonnaies, et 25 % de la population occidentale prévoit d’acheter des actifs numériques dans un avenir proche. Ainsi, c’est près d’un quart de milliard de victimes potentielles qui pourraient bientôt tomber dans le domaine du piratage informatique.

Applications malveillantes sur Google Play et l’App Store

Astuces :

Ne pas télécharger plein d’applications relatives aux crypto inutiles,
Ajouter le 2FA (Authentification à deux facteurs) à chaque fois que cela est possible,
Ne jamais cliquer sur un lien sans vérifier qu’il correspond bien à l’adresse URL du site en question.

Les victimes de piratage crypto sont le plus souvent des propriétaires de smartphone Android, qui n’utilisent pas l’authentification à deux facteurs (2FA). Avec le 2FA il ne « suffira » pas aux pirates d’avoir le nom d’utilisateur et le mot de passe, il faudra une troisième donnée, qui est le code 2FA.

Pourquoi Android est plus vulnérable que IOS allez vous me dire? Cela provient en réalité du système d’exploitation ouvert de google, rendant un Android plus vulnérable aux virus, et donc moins sur qu’un iPhone, selon Forbes.

Les pirates ajoutent des applications au nom de certaines cryptomonnaies à la boutique Google Play Store. Lorsque l’application est lancée, l’utilisateur saisit des données sensibles pour accéder à son compte et permet ainsi aux pirates d’y accéder.

L’une des attaques les plus célèbres et les plus massives de ce genre est celle de la fausse application Poloniex. Une fausse application de l’exchange Poloniex circulait sur le Google Play Store, prétendant être une passerelle mobile pour accéder à l’exchange, or Poloniex n’a jamais sorti d’application mobile. Selon Lukas Stefano, analyste de malware chez ESET, 5500 traders ont étés affectés par le malware avant que le logiciel ne soit retiré du Google Store.

Les utilisateurs d’iOS, eux, téléchargent plus souvent des applications App Store avec des mineurs cachés. Apple a même été contraint de resserrer les règles d’admission des applications dans l’Appstore afin de suspendre d’une manière ou d’une autre la distribution de ces logiciels. Mais c’est une toute autre histoire, dont les dégâts sont incomparables avec le piratage des portefeuilles, puisque le mineur ne fait que ralentir le fonctionnement de la machine infectée.

Bots sur Slack

Astuces :

Signaler les Slack-bots pour qu’ils se fassent bloquer,
Ignorer l’activité des bots,
Protéger les canaux slack avec des bots de sécurité comme Metacert ou Webroot, des logiciels anti-virus comme Avira ou avec le navigateur Google Safe Browning intégré.

Depuis mi-2017, les Slack bots, destinés à voler des cryptomonnaies, sont devenus le fléau principal de l’entreprise Slack. Le plus souvent les pirates créent un bot qui averti les utilisateurs d’un problème avec leur cryptomonnaies. Le but est de forcer une personne à cliquer sur le lien et y entrer une clef privée. Quand bien même la réactivité des utilisateurs peut parfois servir à bloquer ces bots, il y a toujours une poignée de personne qui se fait voler.

Screenshot d’un message de faux bot : source : Image source: Steemit @sassal

La plus grande attaque de ce type réussie jusqu’à présent via Slack est considérée comme le hack du Slack de la team d’Enigma. Les pirates ont utilisés le nom d’Enigma – qui était en train de réaliser sa pré-sale – avec le vol de plus de 500.000 $ en Ethereum, de la part d’utilisateurs crédules.

Extensions pour crypto trading

Astuces :

Utiliser une machine différente pour vos opérations internet et vos cryptomonnaies,
Utiliser un mode de navigation privée,
Ne télécharger aucune extension relative aux crypto,
Se munir d’un téléphone ou ordinateur séparé pour vos opérations de trading,
Télécharger un antivirus.

Les navigateurs Internet offrent des extensions pour personnaliser l’interface utilisateur pour un travail plus confortable sur les exchanges ou avec les portefeuilles crypto. Et le problème n’est même pas que ces extensions lisent tout ce que vous tapez sur Internet comme des « keylogger », mais que les extensions sont développées en JavaScript, ce qui les rend extrêmement vulnérables aux attaques. La raison en est que, ces derniers temps – avec la popularité du Web 2.0, d’Ajax et des applications Internet riches – JavaScript et les vulnérabilités qui y sont associées sont devenues très répandues, en particulier en Inde. En outre, de nombreuses extensions pourraient être utilisées pour miner des crypto à l’insu de l’utilisateur.

Authentification par SMS

Astuces :

Désactiver le renvoi d’appel,
Renoncer au 2FA par SMS et utiliser un logiciel ou une app spécifique 2FA.

De nombreux utilisateurs choisissent d’utiliser l’authentification mobile parce qu’ils ont l’habitude de le faire et que le smartphone est toujours à portée de main. Positive Technologies, société spécialisée dans la cybersécurité, a démontré combien il est facile d’intercepter un SMS avec confirmation de mot de passe, transmis pratiquement partout dans le monde par le protocole Signaling System 7 (SS7).

Des spécialistes ont pu détourner des messages texte à l’aide de leur propre outil de recherche, qui exploite les faiblesses du réseau cellulaire pour intercepter les messages texte en transit. Une démonstration a été réalisée en utilisant l’exemple des comptes utilisateurs de Coinbase, ce qui a choqué les utilisateurs de l’exchange.

« À première vue, cela ressemble à une vulnérabilité de base de cryptomonnaie, mais la vraie faiblesse est dans le système cellulaire lui-même », a déclaré Positive Technologies.

Les connexions aux Wi-Fi Publics

Astuces :

Ne jamais faire de transaction crypto en étant connecté à un réseau Wi-Fi public, même avec un VPN.
Mettre régulièrement à jour le firmware de son propre routeur, car les fabricants de matériel publient constamment des mises à jour visant à protéger contre la substitution de clés.

En octobre 2017, dans le protocole Wi-Fi Protected Access (WPA) – qui utilise des routeurs – une vulnérabilité irrécupérable a été découverte. Après avoir effectué une attaque KRACK (Key Reinstallation AttaCK), le dispositif de l’utilisateur se reconnecte au même réseau Wi-Fi de pirates informatiques. Toutes les informations téléchargées ou envoyées sur le réseau par un utilisateur sont à la disposition des pirates, y compris les clés privées des portefeuilles crypto. Cette vulnérabilité est particulièrement problématique pour les réseaux Wi-Fi publics dans les gares, les aéroports, les hôtels et les endroits où se rendent de grands groupes de personnes.

Sites clones / Sites de Phishing

Astuces :

Ne jamais interagir avec des sites dits de cryptomonnaies, sans le signe HTTPS  (pas HTTP, mais bien HTTPS !)
Si utilisation de Chrome, customiser ses extensions. Kryptonite par exemple chargera de nous prévenir si le site visité est bien le vrai ou si ce dernier est un site de phishing.
Si réception de mail « louche » le supprimer, ne cliquer sur aucun lien en interne et ne télécharger aucune pièce jointe.

Ces bonnes vieilles méthodes de piratage sont connues depuis la « révolution dotcom », mais il semble qu’elles fonctionnent toujours sur certaines personnes.

Dans le premier cas, les attaquants créent des copies complètes des sites originaux sur des noms de domaines qui sont décalés d’une seule lettre. Le but d’une telle astuce est d’attirer un utilisateur vers le clone du site et de le forcer à entrer le mot de passe du compte ou une clé secrète.

Dans le second cas, ils envoient un courriel qui – par conception – copie à l’identique les lettres du projet officiel, mais – en fait – vise à vous forcer à cliquer sur le lien et à entrer vos données personnelles. Selon Chainalysis, les escrocs qui utilisent cette méthode ont déjà volé 225 millions de dollars de cryptomonnaie.

« Cryptojacking », l’exploitation minière cachée et un peu de bon sens

Les attaques « brutales » semblent désintéresser peu à peu les hackers. En effet, tous les crypto users commencent à être sensibilisés sur les risques d’attaques directes (vol de cryptomonnaie, ou d’information d’utilisateurs). Il semblerait que les pirates se focalisent maintenant sur le mining caché.

Selon Mc Afee Labs, dans le premier quart de 2018 seulement, 2,9 millions d’échantillons de virus pour le mining caché ont étés enregistré dans le monde. Cela est 625 % plus élevé que dans le dernier quart de 2017. Cette méthode est appelée le « CryptoJacking » et elle fascine les hackers tant elle est simple à mettre en place.

Bien que les hackers abandonnent les logiciels d’extorsion « basiques », l’activité de piratage n’a pas diminué du tout. Les experts de la société Carbon Black – travaillant en collaboration avec des organismes de cybersécurité – ont révélé qu’en juillet 2018, il y a environ 12.000 sites de vente sur le Darkweb vendant environ 34.000 logiciels pour hackers. Le prix moyen de ce genre de logiciels sur une telle plateforme avoisine les 225$ (environ 200€)

source: Carbon Black

Mais comment ces virus se retrouvent-t-ils sur nos ordinateurs ? Revenons aux nouvelles avec lesquelles nous avons commencé. Le 27 juin, les utilisateurs ont commencé à laisser des commentaires sur le forum Malwarebytes au sujet d’un programme appelé « All-Radio 4.27 Portable » qui était installé à leur insu sur leurs appareils. Il était impossible de supprimer ce programme. Bien que, dans sa forme originale, ce logiciel semble être un visualiseur de contenu inoffensif et populaire, sa version a été modifiée par des pirates pour devenir une « valise » entière de mauvaises surprises.

Évidemment, cette « valise » contient un mineur caché qui ne fait que ralentir l’ordinateur. Quant au programme de surveillance du presse-papiers, qui remplace les adresses lorsque l’utilisateur copie et colle le mot de passe, et il a recueilli 2 343 286 portefeuilles Bitcoin de victimes potentielles. C’est la première fois que des pirates ont démontré une base de données aussi énorme de propriétaires de cryptomonnaies – jusqu’à présent, de tels programmes ne contenaient qu’un ensemble très limité d’adresses.

Après avoir remplacé les données, l’utilisateur transfère (in)volontairement des fonds à l’adresse du portefeuille de l’attaquant. La seule façon de protéger les fonds contre cela est de vérifier l’adresse saisie lors de la visite du site web, ce qui n’est pas très agréable, mais cela est la seule façon de s’assurer de l’exactitude de sa transaction. Et il est fortement conseillé que cela devienne une habitue.

Après avoir interrogé les victimes de « All-Radio 4.27 Portable », il a été découvert que des logiciels malveillants se sont installés sur leurs ordinateurs à la suite d’actions déraisonnables. Comme l’ont découvert les experts de Malwarebytes et de Bleeping Computer, les gens utilisaient des versions crackées de programmes et de jeux sous licence, ainsi que des activateurs Windows comme KMSpico, par exemple. Ainsi, il semble que les pirates ont choisi comme victimes ceux qui ont consciemment violé le droit d’auteur et les règles de sécurité.

Les techniques des pirates sont multiples pour subtiliser des fonds crypto, et évoluent au fil du temps. Outre l’intégralité des conseils et des règles de sécurité qu’on peut trouver dans cet article, il ne faut pas oublier qu’une grande partie de ces attaques est rendue possible grâce à la crédulité des victimes, ou à un manque de connaissances sécuritaires.

Comme l’a déclaré Bryan Wallace, conseiller Google pour les petites entreprises :

« Le cryptage, les logiciels ativirus, et l’identification multifactorielle ne protègent vos actifs que jusqu’à un certain point, la clé, ce sont les mesures préventives et le bon sens ».

En effet dans la majorité des piratages informatique, la première faille est humaine.

Source : CoinTelegraph || Image from Shutterstock

Yanis

Blockchain enthousiaste et crypto investisseur depuis 2013, je suis chargé de rédactions et d'interviews pour Journalducoin. Mon objectif est de contribuer à la promotion et au développement des protocoles blockchain en France. Retrouvez mes articles pour ne manquer aucune crypto news !