Critique des portefeuilles matériels par ZachXBT
L’enquêteur on-chain ZachXBT a récemment critiqué les portefeuilles matériels, affirmant que les utilisateurs ne devraient pas compter sur eux pour la signature de transactions critiques ou le stockage de grandes quantités de cryptomonnaies. Dans un post sur Telegram, il a qualifié ces dispositifs de « déchets complets » et a déconseillé leur utilisation pour des tâches importantes. À la place, il a suggéré d’utiliser un iPhone dédié uniquement à la gestion des actifs crypto.
Critique de Ledger
ZachXBT a particulièrement ciblé Ledger, l’un des plus grands fabricants de portefeuilles matériels, qu’il a qualifié de « pire » en raison des mises à jour fréquentes de Ledger Live, qui, selon lui, peuvent perturber des fonctions de base. Il a déclaré que ces mises à jour régulières de l’interface et des applications n’apportent pas de valeur ajoutée et compliquent des actions simples.
Bien que ZachXBT exprime une opinion forte sur les portefeuilles matériels, il n’a pas fourni de preuves d’une nouvelle violation de sécurité concernant les dispositifs Ledger ou d’une compromission de la protection des clés privées. Ledger a depuis renommé Ledger Live en Ledger Wallet. Selon les notes de version officielles de l’entreprise, la version 4.8.0 de Ledger Wallet a été publiée le 11 juin, apportant des améliorations de sécurité, des modifications d’interface et des corrections de bogues mineurs. L’entreprise continue de promouvoir la signature basée sur le matériel comme un moyen de garder les clés privées séparées des dispositifs connectés à Internet.
Risques liés à l’ingénierie sociale
La proposition de ZachXBT d’utiliser un smartphone réservé uniquement aux transactions crypto représente une approche différente. Cette critique intervient alors que les attaquants continuent de cibler les propriétaires de portefeuilles matériels par le biais d’ingénierie sociale et d’applications frauduleuses. Ces attaques n’impliquent pas nécessairement de compromettre la sécurité du portefeuille matériel lui-même. Par exemple, un détenteur de cryptomonnaies a perdu plus de 282 millions de dollars en Bitcoin et Litecoin en janvier à la suite d’une escroquerie d’ingénierie sociale liée à un portefeuille matériel. ZachXBT a rapporté que les attaquants avaient rapidement déplacé les fonds volés à travers plusieurs services et en avaient converti une partie en Monero. Cet incident illustre comment les attaquants peuvent cibler les utilisateurs sans compromettre directement la sécurité technique d’un portefeuille matériel.
L’ingénierie sociale vise à convaincre les victimes de révéler des informations sensibles ou d’effectuer des actions qui donnent aux criminels le contrôle de leurs actifs.
Les utilisateurs de Ledger ont également été confrontés à des attaques impliquant des logiciels imitant les produits officiels de l’entreprise. De tels cas peuvent créer des risques de sécurité même lorsque le dispositif matériel fonctionne comme prévu. En avril, une fausse application Ledger Live répertoriée sur l’App Store d’Apple a volé au moins 9,5 millions de dollars à plus de 50 victimes en une semaine. L’application frauduleuse a copié la marque Ledger et est apparue aux utilisateurs recherchant le logiciel de portefeuille de l’entreprise. Les victimes ont saisi leurs phrases de récupération dans cette fausse application, permettant aux attaquants de prendre le contrôle de leurs portefeuilles. Les actifs volés comprenaient Bitcoin, Ethereum, Solana, Tron et XRP. Apple a ensuite retiré l’application frauduleuse de son magasin.
Conclusion sur la sécurité des cryptomonnaies
La recommandation de ZachXBT d’utiliser un iPhone dédié pourrait réduire une partie de l’exposition associée à l’utilisation d’un dispositif pour la navigation quotidienne, la messagerie et d’autres activités en ligne. Cependant, un smartphone reste dépendant de son système d’exploitation, des logiciels installés, des pratiques de sauvegarde et des habitudes de sécurité de l’utilisateur. Ce débat met en lumière les différentes approches de la garde autonome des cryptomonnaies. Les portefeuilles matériels se concentrent sur le maintien des clés privées isolées des dispositifs connectés à Internet à usage général, tandis que ZachXBT préconise une séparation stricte des dispositifs par le biais d’un téléphone utilisé uniquement pour la crypto. Dans les deux cas, les utilisateurs doivent rester vigilants face aux risques liés au phishing, aux fausses applications, aux phrases de récupération exposées et à l’ingénierie sociale.