La société de sécurité numérique Kaspersky a publié une étude de cas qui sert de signal d’alarme aux investisseurs en crypto-monnaie. Selon la société, l’un des portefeuilles les plus sécurisés du marché, le portefeuille matériel, pourrait ne pas suffire à protéger vos crypto-monnaies.
L’étude fait référence à Trezor, un modèle de portefeuille qui existe depuis 2013 et qui est l’un des plus connus. Kaspersky n’a pas affirmé que le portefeuille n’était pas sécurisé, mais a déclaré aux utilisateurs que les pirates se sont tournés vers des escroqueries plus sophistiquées en utilisant de fausses versions de Trezor.
À cet égard, Kaspersky a recommandé aux utilisateurs d’être prudents lors de l’achat de leurs portefeuilles. Après tout, un logiciel trafiqué peut entraîner des pertes irréversibles.
Couches de protection dans le portefeuille matériel
Selon l’analyse de l’entreprise, l’escroquerie se produit de manière furtive. Un jour, l’utilisateur découvre que son portefeuille a transféré une grande quantité de Bitcoins (BTC) vers une autre adresse. Cependant, il n’a pas donné la commande pour cela – le portefeuille n’était même pas connecté à l’e-mail.
Qu’est-ce qui aurait pu se passer ? Trezor n’est-il pas aussi sûr qu’on le dit ? En fait, le problème se situe dans le portefeuille spécifique : l’utilisateur a acheté un faux Trezor sur le marché.
Satoshi Labs, créateurs des Trezor Model One et T, ont adopté un large éventail de mesures de sécurité qui, en théorie, protègent l’appareil des intrus. Par exemple, le boîtier et le boîtier du disque sont scellés avec des autocollants holographiques. De plus, le chargeur de démarrage vérifie la signature numérique du micrologiciel et, si une anomalie est détectée, il affiche un message de micrologiciel non authentique et efface toutes les données du portefeuille.
C’est-à-dire que l’emballage a une protection contre la contrefaçon, qui est la première barrière de protection. Et même ainsi, le portefeuille dispose toujours d’une protection sur l’appareil.
Enfin, le portefeuille a même un code PIN d’accès et la possibilité d’une protection par mot de passe, et personne ne peut voler les crypto-monnaies sans avoir l’appareil. Alors que s’est-il passé dans cette attaque que Kaspersky cite en exemple ?
un chat dans un sac
Dans l’étude de cas, Kaspersky a utilisé un portefeuille Trezor comme exemple. Mais avec un détail : la version était fausse, un Trezor frelaté.
Au début, le portefeuille examiné par la société semblait être exactement comme un véritable, sans aucun signe d’altération. Kaspersky affirme avoir acheté l’appareil sur un « site de petites annonces populaires » auprès d’un vendeur très bien noté sur le site.
En revanche, les autocollants holographiques sur la boîte et sur le portefeuille lui-même étaient tous présents et intacts. Lors du démarrage en mode mise à jour, le portefeuille affichait la version 2.4.3 du firmware et la version 2.0.4 du chargeur de démarrage.
Lors de la manipulation du portefeuille, rien ne semblait suspect non plus : toutes les fonctions fonctionnaient comme elles le devraient et l’interface utilisateur n’était pas différente de l’original. Mais les découvertes intéressantes ont commencé lorsque les analystes ont examiné les détails du portefeuille.
« Dès le départ, nous avons découvert que le fournisseur n’avait jamais publié la version 2.0.4 du chargeur de démarrage. Le journal des modifications du projet sur GitHub indique de manière concise que cette version a été « ignorée en raison de faux appareils » », a déclaré Kaspersky.
Trezor alerte
C’est-à-dire que Trezor lui-même a mis en garde ses utilisateurs contre les risques de contrefaçon impliquant ce firmware, ce qui montre que le système est faux.
Et le problème est encore plus grave, car le programme en question est un cheval de Troie, un logiciel qui vole des données. Et comme vous le savez, les clés privées d’un portefeuille sont stockées à l’intérieur du portefeuille matériel. Par conséquent, dès que l’utilisateur enregistre sa clé, le cheval de Troie a un accès complet au portefeuille.
« Le fait que les attaquants aient pu effectuer une transaction alors que le portefeuille hors ligne était caché dans le coffre-fort de son propriétaire signifie qu’ils ont soit copié la clé privée après sa génération, soit… ils le savaient depuis le début », a déclaré la société.
Que faire du hardware wallet ?
Selon Jefferson Rondolfo, partenaire de KriptoBR (le revendeur officiel des portefeuilles Ledger et Trezor au Brésil), la contrefaçon peut être courante sur ce marché. Et malheureusement, les utilisateurs profanes ne peuvent pas distinguer un faux portefeuille d’un vrai.
Un autre problème est l’achat de portefeuilles sur des sites de vente aux mains d’utilisateurs inconnus. Ce type de pratique rend le client plus susceptible de tomber dans ce type d’escroquerie.
« Un utilisateur profane ne peut pas identifier un faux portefeuille. La seule sécurité est d’acheter à l’usine ou chez les revendeurs officiels. Depuis, la falsification se fait en interne dans la puce de l’appareil et parfois dans le firmware, ou les deux », a déclaré Rondolfo.