Appel à la méfiance dans le monde des cryptomonnaies
Jameson Lopp, un développeur éminent dans le domaine de Bitcoin, a exhorté les détenteurs de cryptomonnaies à adopter une approche de « zéro confiance » envers toutes les communications entrantes, suite à la découverte d’une vulnérabilité dans l’infrastructure de Google.
Phishing sophistiqué et vulnérabilités
Ce nouvel avertissement fait suite à l’émergence d’un schéma de phishing sophistiqué qui exploite un formulaire Google légitime utilisé pour les demandes de contact de sauvegarde. Étant donné que la notification provient du domaine officiel de l’entreprise, les filtres de sécurité la laissent passer directement dans les boîtes de réception des victimes.
Les attaquants abusent du champ de nom en insérant un long bloc de texte qui déplace visuellement le contenu réel vers le bas, tout en plaçant un faux avertissement de sécurité et un lien de phishing en haut de l’e-mail. La confiance des utilisateurs est également manipulée par le fait que le site malveillant est hébergé sur la plateforme officielle Google Sites.
Canaux de communication non fiables
Sur la base de cet incident, Lopp a identifié cinq grands canaux de communication qui ne devraient plus être considérés comme fiables pour les messages entrants :
- Appels téléphoniques
- SMS
- Messageries instantanées
- Toute autre notification externe
Il insiste sur le fait qu’il ne faut pas faire confiance aux e-mails, aux appels téléphoniques, aux messages SMS, aux messages de chat, ni à aucune communication entrante. Tout message affirmant qu’il y a un problème de sécurité urgent avec un compte doit être considéré avec méfiance.
Proposition BIP-361 et critiques
Fait intéressant, Lopp est récemment devenu co-auteur de la proposition controversée BIP-361, conçue pour protéger Bitcoin contre les futurs ordinateurs quantiques, y compris ceux potentiellement développés par Google. Ce document propose d’interdire les transactions à partir d’adresses héritées dans les trois ans et de geler complètement jusqu’à 1,7 million de BTC dans des portefeuilles liés à Satoshi Nakamoto dans les cinq ans, si leurs propriétaires ne mettent pas à jour les signatures cryptographiques.
Cette initiative a suscité une vague de critiques et d’accusations de violation des principes de décentralisation, intensifiant les divisions au sein de la communauté des investisseurs.
Confiance et comportement des grandes entreprises
La situation est également aggravée par le comportement des grandes entreprises technologiques. Google a récemment modifié des formulations dans les descriptions des fonctionnalités de l’IA de Chrome, indiquant que les données locales des utilisateurs ne seraient pas transmises aux serveurs de l’entreprise, ce qui sape encore la confiance dans les écosystèmes centralisés.
Conclusion
Il ne faut jamais faire confiance à un message affirmant qu’il y a un problème de sécurité urgent avec votre compte, même si l’e-mail provient d’un domaine officiel de Google.
Selon Lopp, la littératie technique des nouveaux utilisateurs est en déclin, les rendant ainsi des cibles idéales pour ce type d’attaques.
