Critiques de la page de récupération de phrase de Coinbase Commerce
La page de récupération de phrase de Coinbase Commerce suscite de vives critiques de la part des chercheurs en sécurité, qui mettent en garde contre la normalisation de la saisie de phrases de récupération de 12 mots sur un site web, à quelques jours de la date limite de fermeture du 31 mars 2026.
Un sous-domaine appartenant à Coinbase Commerce — le service de paiement pour commerçants de l’entreprise — a été vivement critiqué par des experts en sécurité blockchain après qu’il a été découvert qu’il incitait les utilisateurs à entrer leurs phrases de récupération de 12 mots, également connues sous le nom de phrases mnémotechniques, directement dans un formulaire web en texte clair.
Contexte et préoccupations
La controverse a éclaté mercredi et s’est intensifiée jeudi matin, la découverte survenant à un moment particulièrement sensible : Coinbase met fin à Commerce entièrement d’ici le 31 mars 2026, dans le cadre d’une consolidation plus large de la plateforme sous Coinbase Business, ce qui signifie que des dizaines de milliers de commerçants ont une fenêtre étroite pour retirer leurs fonds.
La page en question, hébergée sur withdraw.commerce.coinbase.com/seed-phrase, a été mentionnée dans un document d’aide de Coinbase Commerce désormais supprimé, qui orientait les utilisateurs pour récupérer des fonds en important leurs phrases de récupération dans des portefeuilles compatibles tels que Coinbase Wallet ou MetaMask.
Yu Xian, fondateur de SlowMist, a décrit cette pratique comme révélatrice d’un « manque de sensibilisation à la sécurité » de la part d’un acteur majeur de l’industrie.
L’enquêteur on-chain ZachXBT a indépendamment signalé la page, avertissant que son existence crée une surface d’attaque directe pour des campagnes d’ingénierie sociale ciblant les utilisateurs de Coinbase.
Défauts structurels et risques accrus
Les préoccupations vont au-delà de la page elle-même. Le directeur de la sécurité de l’information de SlowMist, connu sous le nom de 23pds, a intensifié l’alarme en soulignant que le plan du site de la page contient des défauts structurels qui facilitent considérablement la réplication par des acteurs malveillants. En utilisant des outils tels que ResourcesSaver, les attaquants peuvent télécharger le code front-end et déployer des sites de phishing visuellement identiques.
Le problème fondamental réside dans la normalisation. Chaque protocole de sécurité légitime dans l’industrie de la cryptomonnaie repose sur un principe unique et non négociable : une phrase de récupération ne doit jamais être saisie sur un site web, un formulaire ou une application, quelles que soient les circonstances — même pas sur un site officiel.
Les phrases de récupération sont les clés cryptographiques maîtresses d’un portefeuille ; quiconque les possède détient les fonds. En construisant un flux de travail de récupération qui exige que les utilisateurs saisissent leur phrase dans un navigateur, Coinbase a, que ce soit intentionnellement ou par négligence, entraîné les utilisateurs à accepter un comportement que les escrocs exploitent régulièrement.
Coinfomania a noté que l’outil suggère même de copier des phrases depuis Google Drive comme étape intermédiaire, aggravant ainsi le risque.
L’avertissement de ZachXBT a un poids particulier compte tenu de son expérience. En janvier 2026, il a exposé une escroquerie d’usurpation d’identité du support Coinbase qui a entraîné environ 2 millions de dollars de crypto volée.
Réactions et enjeux pour Coinbase
La page de récupération de phrase de Commerce représente un modèle prêt à l’emploi pour une attaque de suivi d’une échelle potentiellement bien plus grande. Au jeudi, Coinbase n’avait pas répondu publiquement aux critiques, malgré plusieurs demandes de commentaires.
L’entreprise a proposé des méthodes de retrait alternatives — y compris un outil de retrait commercial séparé considéré comme plus sûr par les chercheurs — mais n’a pas supprimé ni modifié la page de récupération de phrase.
Avec douze jours restants avant que Commerce ne soit définitivement désactivé, la pression sur l’échange pour agir augmente rapidement. Pour la société cotée en bourse la plus en vue de l’industrie crypto, les enjeux réputationnels d’un événement de phishing de masse déclenché par ses propres outils de migration pourraient difficilement être plus élevés.
