MetaMask met en garde les utilisateurs d’Apple

Vendredi dernier, un investisseur dénommé Domenic Iacovone a reçu un prétendu appel du service client d’Apple, les voleurs lui ont ensuite fait faire des manipulations pour s’emparer de l’intégralité de son portefeuille MetaMask.

Le portefeuille contenait plusieurs tokens non fongibles (NFT) des collections Mutant Ape Yatch Club et Gutter Cat Gang, ainsi que 100 000 dollars en ApeCoin (APE). Le total du larcin s’élève à une valeur de 655 000 dollars environ.

L’utilisateur Twitter sous le pseudonyme de Serpent, décrit ce qui est arrivé à Domenic Iacovone pour en arriver là :

Dans un premier temps, les voleurs ont déclenché des réinitialisations aléatoires de l’identifiant Apple de la victime afin de mettre celle-ci sur ses gardes. Puis ils ont appelé à plusieurs reprises avec une fausse identification d’appelant, afin que Domenic Iacovone pense à des appels manqués d’Apple.

Il a donc rappelé le numéro et il lui a été demandé de réinitialiser son identifiant lui-même à cause d’une soi-disant activité suspecte, puis de transmettre le code de double authentification sous prétexte de prouver son identité.

Grâce à cette manipulation, les voleurs ont ainsi eu accès au service Apple iCloud de Domenic Iacovone et ont pu lui dérober le contenu de son portefeuille MetaMask.

C’est à cause de cette histoire que MetaMask a publié une mise en garde sur les sauvegardes automatiques et a expliqué la procédure pour empêcher celles-ci :

👉 Pour aller plus loin – 7 bonnes pratiques pour protéger son portefeuille de cryptomonnaies d’un hack

Commandez notre livre

publié aux éditions Larousse 👆

Une sauvegarde de clé privée en local

Suite à cette mésaventure, la victime s’est offusquée d’apprendre que MetaMask sauvegardait les clés privées à notre insu. En vérité, ce n’était pas un secret. Il est même logique que celles-ci soient stockées en local, sinon nous ne pourrions pas avoir accès à notre phrase de récupération dans les paramètres de sécurité du portefeuille.

C’est d’ailleurs ce qu’expliquait Charles Guillemet, directeur technique chez Ledger, lors de son interview auprès de Cryptoast :

 

La clé privée d’un hot wallet est stockée sur notre machine (ou iCloud en l’occurrence) et celle-ci est simplement encodée. Mais quelqu’un de suffisamment qualifié pour passer outre cet encodage aura alors accès à l’entièreté du portefeuille. La façon la plus efficace de se protéger face à cela reste alors le hardware wallet, qui plus est pour des sommes aussi importantes.

Si Domenic Iacovone en avait eu un, le phishing dont il a été victime aurait échoué. Étant très actif sur son Twitter et son Instagram, il est fort probable qu’il ait été ciblé spécifiquement et que les voleurs avaient préparé leur coup après une période d’observation et de préparation.

Bien que ce malheureux épisode ait touché un utilisateur d’Apple, il faut garder à l’esprit que cela aurait pu arriver sur n’importe quelle machine. Personne n’est à l’abri de ce type d’attaques, et souvent, l’humain reste la principale faille.

Cela nous rappelle que dans les cryptomonnaies, nous sommes entièrement responsables de notre argent et par conséquent, de la sécurité qui va avec.

👉 Sur le même sujet – Sécurité : Google Chrome nécessite d’être mis à jour suite à une faille majeure

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

Ce qu’il faut savoir sur les liens d’affiliation. Cette page présente des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article sont affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.

Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.

A propos de l'auteur : Vincent Maire

twitter-soothsayerdata

Je découvre timidement le monde de la blockchain fin 2018 lors de ma quête de liberté financière. D'abord investi modérément, ce n'est que deux ans plus tard que je prends le pari de tout miser sur le mouvement qui se dessine alors. Je consacre ensuite 2021 à mieux me former pour acquérir plus de connaissances et de sérieux. Comme j'aime souvent le dire : j'ai encore un milliard de choses à apprendre. Et ce que je sais, je souhaite le partager avec vous.
Tous les articles de Vincent Maire.

guest
2 Commentaires
Inline Feedbacks
View all comments
Pgpgpg

Perdre 650.000 dollars de nft en donnant son code de double authentification, j'ai envie de dire bien fait.

Fabrice

Comment en 2022 des gens peuvent encore oublier d'aller consulter le site du fournisseur de service pour y constater qu'il y'a bien un soucis, comment peut on donner à quelqu'un un code 2fa alors qu'il est bien indiqué de ne jamais le donner à quiconque ??? Je ne sais pas pour apple mais il me semble qu'ils disent bien que jamais un agent clientèle ne peut réclamer un code d'accès ou de validation pour effectuer une vérification ou une bizarrerie de la sorte. 600k sérieux ça me fait mal pour lui mais en même temps...