Alerte sur les vulnérabilités zero-click
Le directeur technique (CTO) de Ledger, Charles Guillemet, a récemment averti les utilisateurs de cryptomonnaies d’une nouvelle vague de vulnérabilités zero-click majeures. Il a exhorté les utilisateurs à protéger leurs actifs en évitant de stocker des informations sensibles sur leurs téléphones.
Espionnage par des États-nations
Guillemet a souligné que des États-nations acquièrent ces vulnérabilités pour espionner des cibles de grande valeur ou des organisations criminelles, dans le but de dérober des secrets précieux, notamment des portefeuilles de cryptomonnaies.
« Ces vulnérabilités zero-click sont achetées par des États-nations pour espionner des cibles de grande valeur ou par des organisations criminelles pour voler des secrets, tels que vos portefeuilles de cryptomonnaies. »
Risques liés aux applications de messagerie
Selon des rapports, des groupes de hackers soutenus par des États utilisent des logiciels espions commerciaux pour compromettre des applications de messagerie telles que Signal, WhatsApp et Telegram. Une fois installés, ces logiciels espions permettent à l’attaquant d’accéder intégralement au téléphone, y compris aux applications de portefeuille de cryptomonnaies.
Les cibles jusqu’à présent incluent principalement des diplomates et des fonctionnaires aux États-Unis, en Europe et au Moyen-Orient. Cependant, ces outils se répandent auprès d’un nombre croissant d’acheteurs, et les techniques deviennent de plus en plus accessibles.
Conseils de sécurité
Il est donc crucial de ne pas laisser vos biens précieux sur votre téléphone. De nombreuses personnes stockent des cryptomonnaies dans des portefeuilles mobiles ou des extensions de navigateur synchronisées avec leur téléphone. Elles utilisent également leur téléphone pour sauvegarder des phrases de récupération sur iCloud ou Google Drive, ainsi que des clés privées.
Si un État-nation ou un groupe criminel bien financé parvient à prendre le contrôle d’un téléphone via une exploitation zero-click, il peut accéder à la phrase de récupération et aux clés privées au moment où l’utilisateur ouvre son application de portefeuille. Une fois cela fait, ils peuvent vider chaque portefeuille en quelques secondes, sans que la victime ne s’en rende compte.
Le CTO de Ledger met donc en garde la communauté des cryptomonnaies : leur téléphone est désormais l’un des endroits les plus risqués pour conserver de grandes quantités de cryptomonnaies. Une des contre-mesures fiables pour les grandes détentions est le stockage sur portefeuille froid ou matériel, sans connexion à Internet.
Recommandations de Binance
Il y a quelques semaines, le PDG de Binance, Richard Teng, a également exhorté les utilisateurs de l’échange à donner la priorité aux mises à jour de sécurité. Teng a conseillé aux utilisateurs de Binance d’utiliser des applications d’authentification, des clés d’accès, des clés de sécurité et une vérification multifacteur pour sécuriser leurs comptes.
Selon l’équipe de Binance, les applications d’authentification ajoutent une seconde couche de sécurité en utilisant des mots de passe à usage unique basés sur le temps, qui changent toutes les 30 secondes.
Mise en garde de la communauté Shiba Inu
À travers le réseau Shiba Inu (SHIB), Mazrael, un membre éminent de la communauté, a partagé une mise à jour de sécurité cruciale. Il a averti la communauté SHIB que des acteurs malveillants intensifient leurs efforts pour vider les portefeuilles des victimes sans méfiance.
Mazrael a également exhorté la communauté Shiba Inu à se battre pour ce qui lui appartient, y compris le ShibDAO et le ShibIO, en expliquant que des acteurs malveillants tentent de vendre des contrefaçons pour tirer profit de la popularité de Shiba Inu.
