Sécurité crypto : le piège classique qui coûte cher – Perdre 80 000 dollars en 2 minutes

Collectionnez les articles du JDC en NFT

Collecter cet article

Ne faites pas confiance par défaut. Vérifiez ! – L’histoire que nous vous relatons aujourd’hui montre bien que liberté rime avec responsabilité. Un utilisateur de cryptomonnaies, pourtant aguerri, a perdu 80 000 dollars suite à une erreur banale.

Agir dans la précipitation : la porte ouverte au phishing (hameçonnage)

Le protagoniste du crypto-drame s’appelle Yaniv. Utilisateur de Bitcoin depuis 2013, il a une bonne compréhension des systèmes décentralisés. Fort de 7 ans d’expérience dans les cryptos, il fait partie de ceux qui les manipulent sur une base quasi quotidienne. Un profil peu enclin à être victime d’une tentative de phishing, et pourtant… Une simple erreur d’inattention lui aura coûté la modique somme de 80 000 dollars en ethers et en NEO.

Yaniv avait stocké ces cryptos sur son hardware wallet Trezor. Ayant quelques petits problèmes avec ce dernier, il décida de transférer ses coins sur un wallet mobile, celui d’Exodus.

Mais Yaniv n’avait jamais installé l’application Android d’Exodus. Dans sa précipitation, il sélectionna la première app disponible sur Google Play, qui semblait correspondre en tout point au wallet désiré.

Malheureusement, il s’agissait d’une application frauduleuse. Les malfaiteurs avaient imité le logo d’Exodus et reproduit l’interface du wallet à l’identique.

Pour transférer ses ETH et ses NEO, Yaniv a donc inséré ses clefs privées dans le faux wallet. En deux minutes, il n’a pu que se rendre à l’évidence : les fonds avaient disparu.

Ethereum phishing
Les fonds en ETH dérobés – Etherscan/CryptoPotato

Se protéger des applications malveillantes

Nous parlons donc bien ici d’une erreur d’inattention très coûteuse. Les nombreuses années d’expérience n’ont pas protégé notre crypto-enthousiaste malchanceux du piège. Pourtant, s’il avait pris le temps d’observer les détails de l’application qu’il s’apprêtait à installer, rien de tout ceci ne serait arrivé.

Il faut avoir à l’esprit un dicton bien connu de la cryptosphère : don’t trust, verify. Même si la fonction de recherche de Google Play ou de l’Apple Store nous renvoie vers une application qui semble en tous points authentique, il faut le vérifier nous-mêmes. Pour cela, l’utilisateur doit veiller à observer les détails de l’app sous toutes les coutures. Si c’est assez facile lorsque l’on installe une extension sur son navigateur, en comparant son identifiant avec celui qui est fourni sur son site officiel, c’est un peu plus compliqué sur mobile.

Il y a cependant des signes qui ne trompent pas : si le nombre de téléchargements et d’avis est très faible, il s’agit d’un clone malicieux. Il faut également penser à bien vérifier que la date de sortie de l’application est bien la bonne. Dans le cas de Yaniv, l’app frauduleuse ne présentait qu’un millier de téléchargements, tandis que le wallet Exodus officiel a été téléchargé plus de 100 000 fois. Les 16 000 avis des utilisateurs sont très positifs, tandis que les quelques dizaines d’avis présents sur l’app factice mettaient en garde contre la supercherie.

Avis négatifs fake wallet Exodus phishing

Bien entendu, Google Play a depuis lors retiré cette application.

Yaniv ne sait pas s’il reverra ses fonds. Les pirates les ont déplacés vers la plateforme de change KuCoin, une des rares à ne pas nécessiter d’identification client (KYC) pour ses utilisateurs. Il a cependant tenu à rendre son histoire publique, pour alerter les nouveaux utilisateurs de cryptomonnaies. Personne n’est à l’abri de ce type d’erreur, même les utilisateurs chevronnés !

Morgan Phuc

Cofounder @ 8Decimals & Partner @ Node Guardians - Making crypto great again - Journal du Coin / BitConseil

Commentaires

3 responses à “Sécurité crypto : le piège classique qui coûte cher – Perdre 80 000 dollars en 2 minutes


Rentsu
C est un basic dans la crypto , toujours utiliser un iphone pour tout ce qui est wallet mobile. Android c est une merde leur store. C est malheureux.
Répondre · Il y a 4 ans

al
On ne va pas plaindre des utilisateurs qui stockent des fonds sur les téléphones portables. C'est des passoires concernant la sécurité. Après il me semble que Google est responsable légal de sa plate forme
Répondre · Il y a 4 ans

Xav’
C'est précisément pour cette raison que bitcoin seul ne sera pas adopté massivement avant longtemps. La nécessité de prêter attention à ce genre de détails disqualifie encore trop de monde pour une utilisation en confiance. De fait, soit Bitcoin s'entoure d'un écosystème d'intermédiaire sécurisant son emploi (un comble), soit il faut attendre la maturité d'une génération de gens à même de l'utiliser. Les fiats ont encore une ou deux décennies devant elles.
Répondre · Il y a 4 ans

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.


Recevez un condensé d'information chaque jour