MyEtherWallet piraté : les DNS de Google en cause

Le site Myetherwallet a été piraté ce 24 avril 2018 au niveau des serveurs DNS publics de Google (8.8.8.8, 8.8.4.4). L’attaquant a détourné le trafic du site web vers l’IP de son serveur de phishing basé en Russie, laissant la porte ouverte aux utilisateurs pour y déposer leurs clés privées… dans les poches du pirate.

Une fois connectés à leurs wallets, les fonds sont immédiatement envoyés à l’adresse de l’attaquant (0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29), pour finir sur des wallets détenus par des plateformes d’échanges. Au total sur l’opération, 215 ethers ont été dérobés en moins de 3 heures, et etherscan a même affiché un message sur ce portefeuille indiquant qu’elle servait à une arnaque de type « phishing » :

Les cryptos ne sont pas seules victimes de ce type d’attaques, et ce n’est pas la première fois qu’un nom de domaine se fait détourner au niveau des DNS et nous vous rappelons qu’il est important de vérifier le certificat SSL du site sur lequel vous vous connectez, voire d’utiliser myetherwallet en local pour gérer vos fonds, comme préconisé sur le site.

Au moment de l’écriture de l’article, les DNS de Google étaient revenus à la normale mais le cache DNS des fournisseurs d’accès dispose d’une durée de vie de 9000 secondes, et il est probable que de nombreux utilisateurs puissent être encore impactés.

Myetherwallet a annoncé que ce problème avait commencé à 12h UTC mais qu’ils faisaient tout pour améliorer la propagation des adresses IP légitimes, notamment en enjoignant les utilisateurs à modifier les DNS de Google par ceux de CloudFare (1.1.1.1 et 1.0.0.1).

Lucas E.

Cofondateur & ex-Directeur de publication du média que vous lisez en ce moment même, je refais surface de temps en temps, pour écrire des billets d'analyse financière sur le marché des cryptomonnaies.