Partager cet article

Six outils utilisés par les hackers pour voler des cryptomonnaies : comment protéger ses wallets
Articles / Tutoriaux

Six outils utilisés par les hackers pour voler des cryptomonnaies : comment protéger ses wallets

Début juillet, il était rapporté par Bleeping Computer que des activités suspectes de détournement ciblaient 2,3 millions de wallets Bitcoin menacés de piratage. Les attaquants, qualifiés de « pirates de  presse-papiers », utilisaient un malware qui opère au sein du presse-papiers de votre système d’exploitation et peut potentiellement remplacer une adresse de wallet (destinataire d’un paiement) par l’adresse du hacker.

Ces menaces de piratage ont été prédites par Kaspersky Lab dès le mois de novembre dernier et n’ont pas mis longtemps à se concrétiser. A l’heure actuelle, il s’agit de l’une des méthodes les plus répandues pour subtiliser les données ou l’argent des utilisateurs, avec un nombre global d’attaques visant des comptes et wallets individuels estimé à 20% du nombre total d’attaques par malware. Par ailleurs, le 12 juillet, Cointelegraph a publié un rapport de Kaspersky Lab annonçant que des criminels ont été en mesure de dérober plus de 9 millions de $ en Ethereum grâce aux réseaux sociaux l’année passée.

 

LE PROBLÈME EN BREF

Le portail Bleeping Computer, dont le travail consiste à améliorer la culture informatique, souligne l’importance de suivre certaines règles de base afin d’assurer un niveau de protection suffisant :

« La plupart des problèmes techniques ne sont pas dus à l’ordinateur mais au fait que l’utilisateur ne connait pas les concepts basiques qui sont la base des problèmes informatiques. Ces concepts comprennent le hardware, les fichiers et dossiers, les systèmes d’exploitation, internet et les applications. »

Ce point de vue est partagé par de nombreux experts en cryptomonnaies. L’un d’entre eux, l’investisseur et entrepreneur Ouriel Ohayon, met l’accent sur la responsabilité personnelle des utilisateurs dans son blog Hackernoon :

« Oui, vous contrôlez vos propres actifs, mais le prix à payer est que vous êtes responsables de votre propre sécurité. Et puisque la majorité des gens ne sont pas des experts en sécurité ils sont alors très souvent exposés sans même le savoir. Je suis toujours stupéfait de voir autour de moi combien de personnes, y compris des technophiles, n’adoptent pas les mesures de sécurité les plus basiques. »

Selon Lex Sokolin – directeur de la stratégie en technologie financière à Autonomous Research – chaque année des milliers de personnes sont victimes de faux sites et de phishing en envoyant volontairement aux fraudeurs 200 millions de $ qu’ils ne reverront jamais.

Que pouvons-nous en déduire ? Les hackers qui s’en prennent aux crypto wallets profitent de la principale vulnérabilité du système : l’inattention et l’arrogance humaines. Voyons comment ils opèrent et comment chacun peut protéger ses fonds.

 

250 MILLIONS DE VICTIMES POTENTIELLES

Une étude conduite par la société américaine Foley & Lardner a démontré que 71% des grands crypto traders considèrent le vol de cryptomonnaies comme étant le facteur de risque qui influence le plus négativement le marché. 31% des personnes interrogées estiment que la menace de piratage de l’industrie des cryptomonnaies est très élevée.

Des experts de Hackernoon ont analysé les données des attaques par piratage de 2017, lesquelles peuvent être différenciées en trois types :

  • Attaques sur les blockchains, plateformes d’échanges et ICOs ;
  • Distribution de programmes de minage dissimulé ;
  • Attaques dirigées vers des wallets d’utilisateurs.

Étonnamment, l’article « Smart hacking tricks » publié par Hackernoon n’a pas connu une large popularité et les mises en garde semblant être évidentes pour un utilisateur ordinaire de cryptomonnaies doivent être répétées encore et encore puisque le nombre de crypto enthousiastes devrait atteindre 200 millions d’ici 2024 selon RT.

D’après des recherches menées par ING Bank NV et Ipsos, lesquels n’ont pas pris en compte l’Asie Orientale dans leur étude, environ 9% des Européens et 8% des citoyens US possèdent des cryptomonnaies et 25% de la population prévoit d’acquérir des actifs numériques dans un futur proche. Ainsi, cela fait 250 millions de victimes potentielles qui pourraient bientôt faire les frais d’activités de piratage.

 

LES APPLICATIONS SUR GOOGLE PLAY ET L’APP STORE

Astuces :

  • Abstenez-vous d’installer des applications mobiles dont vous n’avez pas vraiment besoin ;
  • Ajoutez l’authentification à deux facteurs (2FA) à toutes vos applications sur smartphone ;
  • Assurez-vous de vérifier les liens des applications sur le site officiel d’un projet.

Les victimes de piratage sont le plus souvent des détenteurs de smartphones dotés du système d’exploitation Android qui n’utilisent pas l’authentification à deux facteurs (ou « double authentification »). Selon Forbes, le fait qu’Android soit un système « open-source » le rend plus vulnérable aux virus et, de fait, moins sécurisé qu’un iPhone. Les hackers ajoutent des applications orientées vers certaines cryptomonnaies au sein du Google Play Store. Lorsque l’application est lancée, l’utilisateur entre des données sensibles pour accéder à ses comptes et y donne ainsi accès aux hackers.

Un des cas de piratage de ce type qui a fait le plus de bruit ciblait les traders opérant sur la plateforme américaine Poloniex. Certains d’entre eux avaient téléchargé une application mobile, mise en ligne par des hackers sur Google Play, se faisant passer pour un portail d’accès à la plateforme. Le fait est que l’équipe de Poloniex n’a pas développé d’applications pour Android et son site web n’a pas de liens vers quelque application mobile que ce soit. D’après Lukas Stefanko, analyste malware chez ESET, 5500 traders ont été infectés par le malware avant que l’application ne soit supprimée de Google Play.

Les utilisateurs de terminaux équipés d’iOS, quant à eux, sont plus sujet au téléchargement d’applications de l’App Store qui font du minage à leur insu. Apple a même été forcé de durcir les conditions d’admissibilité des applications sur son store afin de limiter, en quelque sorte, la distribution de tels programmes. Cela reste une toute autre histoire, puisque les dommages causés par le piratage d’un wallet sont incomparables avec les ralentissements occasionnés par un programme de minage sur un système informatique.

 

LES BOTS DANS SLACK

Astuces :

  • Signalez les Slack-bots pour les bloquer ;
  • Ignorez l’activité des bots ;
  • Protégez la chaîne Slack avec, par exemple, les bots de sécurité Metacert ou Webroot, l’antivirus Avira ou même avec la navigation sécurisée Google intégrée.

Depuis mi-2017, les bots visant à dérober des cryptomonnaies sont devenus le fléau de la plateforme de collaboration. Le plus souvent, les hackers créent un bot qui notifient les utilisateurs au sujet de problèmes avec leurs cryptos. Le but est de forcer une personne à cliquer sur un lien et à renseigner sa clé privée. Ces bots sont bloqués par les utilisateurs au fur et à mesure qu’ils apparaissent. Bien que la communauté réagisse rapidement la plupart du temps et contrait le hacker à abandonner, ce dernier parvient quand même à faire de l’argent.

L’attaque la plus conséquente opérée par des hackers via Slack est le hack du groupe Enigma. Les attaquants ont utilisé le nom d’Enigma – qui organisait une prévente – pour lancer un bot Slack, ce qui a débouché sur le détournement d’un total de 500 000 $ en Ethereum subtilisés à des utilisateurs crédules.

 

ADD-ONS DE TRADING

Astuces :

  • Utilisez un navigateur différent pour les opérations avec des cryptomonnaies ;
  • Sélectionnez un mode incognito ;
  • Ne téléchargez pas d’add-ons de trading ;
  • Utilisez un PC ou un smartphone dédié au trading ;
  • Téléchargez un antivirus et installez une protection de réseau.

Les navigateurs internet offrent des extensions pour personnaliser l’interface utilisateur et rendre plus confortable l’utilisation de plateformes d’échange ou de wallets. Le problème n’est même pas que les add-ons lisent absolument tout ce que vous tapez lorsque vous utilisez internet, mais plutôt que ces extensions sont développées en JavaScript, ce qui les rend extrêmement vulnérables aux attaques par piratage. La raison est que, récemment – avec la popularité du web 2.0, d’Ajax et des Rich Internet Applications (RIA) – JavaScript et les vulnérabilités qui l’accompagnent sont devenus très répandus dans les organisations, notamment les Indiennes. De plus, de nombreuses extensions pourraient être utilisées pour du minage dissimulé grâce aux ressources de l’utilisateur.

 

AUTHENTIFICATION PAR SMS

Astuces :

  • Désactivez le renvoi d’appel afin de rendre impossible l’accès à vos données ;
  • Renoncez au 2FA par SMS lorsque le mot de passe est envoyé dans le texte et préférez une solution logicielle d’indentification à deux facteurs (ex : Google Authenticator).

Beaucoup d’utilisateurs choisissent d’utiliser l’authentification mobile car ils sont habitués à faire ainsi et leur smartphone est toujours à portée. Positive Technologies, une société spécialisée dans la cybersécurité, a démontré à quel point il est facile d’intercepter un SMS avec une confirmation de mot de passe, transmis pratiquement à travers le monde par le protocole Signaling System 7 (SS7). Des spécialistes ont été capables de pirater des messages texte en utilisant leur propre outil de recherche, lequel exploite les faiblesses du réseau cellulaire pour intercepter des messages en transit. Une démonstration a été menée en prenant pour exemple des comptes Coinbase et a choqué les utilisateurs de la plateforme d’échange. A première vue cela ressemble à une vulnérabilité de Coinbase mais la vraie faiblesse réside dans le système cellulaire lui-même, a déclaré Positive Technologies. Cela a prouvé qu’il est possible d’accéder à tout système directement par SMS, et ce même si le 2FA est utilisé.

 

Wi-Fi PUBLIC

Astuces :

  • Ne réalisez jamais de transactions via un Wi-Fi public, même si vous utilisez un VPN ;
  • Mettez régulièrement à jour le firmware de votre routeur car les fabricants de matériel déploient régulièrement des mises à jour visant à protéger contre le vol de clés.

En octobre dernier, une vulnérabilité irrécupérable a été détectée dans le protocole WiFi Protected Access (WPA), lequel utilise des routeurs. Après avoir mené une attaque KRACK élémentaire (une attaque avec réinstallation des clés), l’appareil de l’utilisateur se reconnecte au même réseau Wi-Fi mais celui-ci est désormais piraté. Toutes les informations téléchargées ou envoyées via le réseau par un utilisateur est accessible aux attaquants, ce qui inclue les clés privées de crypto wallets. Ce problème est particulièrement dimensionnant pour les réseaux Wi-Fi publics dans les gares, aéroports, hôtels et lieux touristiques.

 

SITES CLONES ET PHISHING

Astuces :

  • N’interagissez jamais avec des sites sans protocole HTTPS ;
  • Si vous utilisez Chrome, utilisez une extension – par exemple Cryptonite – qui affiche les adresses des sous-menus ;
  • Lorsque vous recevez des messages provenant de sources liées aux cryptomonnaies, copiez le lien dans la barre d’adresse du navigateur et comparez-le à l’adresse du site original ;
  • Si quelque chose paraît suspect, fermez la fenêtre et supprimez le mail de votre boite de réception.

Ces bonnes vieilles méthodes de piratage sont connues depuis la « révolution dotcom » mais il semble qu’elles fonctionnent toujours. Dans le premier cas, les attaquants créent des copies complètes de sites originaux sur des noms de domaines qui ne diffèrent que d’une seule lettre. Le but d’une telle ruse, incluant la substitution de l’adresse dans la barre du navigateur, est d’attirer un utilisateur sur le site-clone et de le forcer à entrer le mot de passe du compte ou une clé secrète. Dans le second cas, ils envoient un email qui reprend l’esthétique et les propos du projet officiel mais qui vise à vous faire cliquer sur un lien et entrer vos données personnelles. Selon Chainalysis, les scammers utilisant cette méthode auraient déjà dérobé 225 millions de $ en cryptomonnaies.

 

CRYPTOJACKING, MINAGE CACHE ET BON SENS

La bonne nouvelle est que les hackers perdent progressivement de l’intérêt pour les attaques brutales sur les wallets du fait de la résistance croissante des services de cryptomonnaie et de l’augmentation du niveau de connaissances des utilisateurs eux-mêmes. Les hackers se concentrent maintenant sur le minage caché.

D’après McAfee Labs, durant le premier trimestre 2018, 2,9 millions de programmes de minage caché ont été répertoriés à travers le monde. Cela représente une augmentation de 625% par rapport au dernier trimestre 2017. La méthode est appelée « cryptojacking » et a fasciné les hackers de par sa simplicité à tel point qu’ils se sont massivement tournés vers cette méthode, abandonnant les programmes d’extorsion traditionnels.

La mauvaise nouvelle est que les activités de piratage n’ont pas diminué d’un seul bit. Des experts de la société Carbon Black, qui travaille dans la cybersécurité, ont révélé qu’en juillet 2018 il y a approximativement 12 000 plateformes d’échanges sur le dark web proposant environ 34 000 offres pour hackers. Le prix moyen pour une attaque par programme malveillant vendue sur une telle plateforme est d’environ 224$.

Mais comment cela se retrouve dans nos ordinateurs ? Revenons-en aux nouvelles avec lesquelles nous avons commencé. Le 27 juin, des utilisateurs ont commencé à poster des commentaires sur le forum de Malwarebytes au sujet d’un programme nommé All-Radio 4.27 Portable qui avait été installé à leur insu sur leurs appareils. La situation était compliquée par le fait qu’il était impossible de le supprimer. Bien que, dans sa forme originelle, ce programme semblait être une innocente et populaire visionneuse de contenu, sa version avait été modifiée par des hackers afin d’en faire toute une « valise » de surprises désagréables.

Bien sûr, le package contient un mineur caché mais il ne fait que ralentir l’ordinateur. Pour ce qui est du programme de gestion du presse-papiers, qui remplace les adresses quand l’utilisateur copie et colle son mot de passe, celui-là a collecté 2 343,286 wallets Bitcoin de victimes potentielles. Ce fut la première fois que des hackers affichaient une si énorme base de données de possesseurs de cryptomonnaies.

Suite au remplacement des données, l’utilisateur transfère volontairement les fonds vers l’adresse du wallet de l’attaquant. La seule façon de protéger les fonds contre cela est de contre-vérifier l’adresse renseignée lorsque l’on visite un site web, ce qui n’est pas très plaisant mais s’avère fiable et pourrait devenir une habitude utile.

Après avoir interrogé les victimes de All-Radio 4.27 Portable, il a été découvert que le programme malveillant s’était retrouvé sur leurs ordinateurs à la suite d’actions déraisonnables. Comme l’on découvert des experts de Malwarebytes et Bleeping Computer, les gens avaient utilisés des cracks de programmes et jeux sous licences, ainsi que des activateurs de Windows tels que KMSpico par exemple. Ainsi, les hackers ont choisi pour victimes ceux qui ont consciemment enfreint un copyright et les règles de sécurité.

Le très connu expert en malwares sur Mac, Patrick Wardle, écrit souvent dans son blog que beaucoup de virus adressés aux utilisateurs ordinaires sont infiniment stupides. C’est tout aussi stupide de se retrouver victime de telles attaques. Donc, en conclusion, je souhaiterais vous rappeler le conseil de Bryan Wallace, conseiller petites entreprise Google :

« Le cryptage, les antivirus et l’identification multi-facteurs mettront seulement vos fonds en sécurité jusqu’à un certain point. La clé, ce sont les mesures préventives et le simple bon sens »

Un coup de pouce pour cet article ?

4+

Partager cet article

4 Commentaires

  1. Que dire d’autre que félicitation !! Cet article est vraiment du lourd 🙂
    EXTRÊMEMENT ENRICHISSANT !

    Répondre
  2. Merci mais j’ai oublié de préciser la source à la fin de l’article tellement j’étais crevé. Il s’agit à l’origine d’un article du Cointelegraph dont j’ai traduit le contenu, ce qui représente tout de même plusieurs heures de boulot…

    Répondre
  3. Whaou 👍 que dire? Superbe article! On se doit d’être soit vigilant ou parano… ou les deux … c’est à dire tomber dans la paranoïa totale.. en faite 🧐 c’est la même chose, non? enfin bon je le suis déjà.. je travaille en psy… non 🙄 je veux dire que c’est du bon sens mais personne n’est à l’abri… je crois que je vais ouvrir une discussion sur le sujet « combien avez-vous perdu dans les scams ICO et sur Twitter ». Quoi qu’il en soit: 👏👏

    Répondre
  4. Nickel 🙂

    Répondre

Laisser un Commentaire

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>