in

Attention : La prédiction de texte d’un smartphone permet de deviner la phrase de départ d’un hodler de cryptomonnaie

Une mise en évidence la facilité avec laquelle les pirates peuvent utiliser la fonction de prédiction de texte pour vider les fonds d’un utilisateur, simplement en étant capable de trouver le premier mot de la liste BIP 39.

Attention : La prédiction de texte d'un smartphone permet de deviner la phrase de départ d'un hodler de cryptomonnaie

Les phrases d’amorçage, une combinaison aléatoire de mots provenant de la liste de 2 048 mots du protocole d’amélioration du bitcoin (BIP), constituent l’une des principales couches de sécurité contre l’accès non autorisé aux avoirs en cryptomonnaie d’un utilisateur. Mais que se passe-t-il lorsque la saisie prédictive de votre téléphone « intelligent » se souvient de ces mots et les suggère la prochaine fois que vous essayez d’accéder à votre portefeuille numérique ?

Andre, un professionnel de l’informatique allemand de 33 ans, a récemment publié un message sur le subreddit r/CryptoCurrency après avoir découvert la capacité de son téléphone portable à prédire l’intégralité de sa phrase de semence de récupération dès qu’il a tapé le premier mot.

Comme un avertissement juste pour les autres Redditors et les amateurs de crypto-monnaies, le post d’Andre a mis en évidence la facilité avec laquelle les pirates peuvent utiliser la fonctionnalité pour drainer les fonds d’un utilisateur juste en étant capable de taper le premier mot de la liste BIP 39 :

« Cela rend l’attaque facile, mettez la main sur un téléphone, démarrez n’importe quelle application de chat, et commencez à taper n’importe quel mot de la liste BIP39, et voyez ce que le téléphone suggère. »

S’adressant à Cointelegraph, Andre – connu sous le nom de u/Divinux sur Reddit – a partagé son choc lorsqu’il a fait l’expérience pour la première fois de son téléphone devinant acurément la phrase de semence de 12 à 24 mots. « Tout d’abord, j’ai été stupéfait. Les deux premiers mots pourraient être une coïncidence, non ? »

En tant qu’individu féru de technologie, l’investisseur allemand en crypto-monnaies a pu reproduire le scénario dans lequel son téléphone portable pouvait prédire avec précision les phrases de départ. Après avoir réalisé l’impact possible de cette information si elle tombait entre de mauvaises mains, « j’ai pensé que je devais en parler aux gens. Je suis sûr qu’il y a d’autres personnes qui ont aussi tapé des graines dans leur téléphone. »

Les expériences d’Andre ont confirmé que le GBoard de Google était le moins vulnérable, car le logiciel ne prédisait pas chaque mot dans le bon ordre. Cependant, le clavier Swiftkey de Microsoft était capable de prédire la phrase de semence dès le départ. Le clavier Samsung, lui aussi, peut prédire les mots si les fonctions « remplacement automatique » et « suggestion de corrections de texte » ont été activées manuellement.

Le premier contact d’Andre avec les crypto-monnaies remonte à 2015, lorsqu’il s’en est momentanément désintéressé jusqu’à ce qu’il réalise qu’il pouvait acheter des biens et des services en utilisant le bitcoin (BTC) et d’autres crypto-monnaies. Sa stratégie d’investissement consiste à acheter et à jalonner des BTC et des altcoins tels que Terra’s LUNA, Algorand’s ALGO et Tezos’s XTZ, puis « à faire de la moyenne d’achat en BTC quand/s’ils sont dans la lune. » Ce professionnel de l’informatique développe également ses propres pièces et jetons en tant que hobby.

Selon Andre, une mesure de sécurité contre d’éventuels piratages consiste à stocker les avoirs importants et à long terme dans un portefeuille matériel. Aux Redditors du monde entier, il a conseillé : « Pas vos clés, pas vos pièces, faites vos propres recherches, ne faites pas de FOMO, n’investissez jamais plus que ce que vous êtes prêt à perdre, vérifiez toujours deux fois l’adresse à laquelle vous envoyez, envoyez toujours un petit montant au préalable et désactivez vos MP dans les paramètres », concluant :

« Faites-vous une faveur et empêchez que cela se produise en vidant le cache de votre type prédictif. »

La société de sécurité blockchain PeckShield a récemment mis en garde la communauté cryptographique contre un grand nombre de sites de phishing ciblant les utilisateurs de l’application de style de vie Web3 STEPN.

Comme l’a rapporté Cointelegraph, selon les conclusions de PechShield, les pirates insèrent un faux plugin de navigateur MetaMask grâce auquel ils peuvent voler les phrases d’amorçage des utilisateurs de STEPN sans méfiance.

L’accès à la phrase d’amorçage garantit un contrôle total des fonds cryptographiques de l’utilisateur via le tableau de bord STEPN.

Franck

Rédigé par Franck

Franck est un écrivain indépendant et un nouvel ajout à l'équipe du Grand Journal Avec une expérience en freelance depuis 2008, Franck a également travaillé comme scénariste et monteur de scripts, ainsi que contribuer à des blogs de cinéma et de télévision. Basé à Fontainebleau, en France, Franck vit avec sa femme et ses jumelles, qu'il aime faire découvrir des films et des émissions de télévision. Ses trois films préférés sont Star Wars, Retour vers le futur et le Seigneur des Anneaux. Ses séries de télévision préférée sont Viking, et Game of Thrones.

Laisser un commentaire

Avatar

Votre adresse e-mail ne sera pas publiée.