Une faille sur d'anciennes versions de MetaMask et Phantom pourrait exposer certains wallets
Une faille pouvant mettre en péril la sécurité des fonds placés sur MetaMask et Phantom a été dévoilée par les 2 entités, et concernerait certaines personnes ayant utilisé le processus d'importation de phrase secrète. La vulnérabilité a toutefois été corrigée sur les 2 portefeuilles, il est donc vivement conseillé d'effectuer toute mise à jour qui s'avérerait nécessaire.
le 16 juin 2022 à 11:00.
3 minutes de lecture
Certains wallets MetaMask et Phantom compromis
Mercredi 15 juin, MetaMask a publié un billet sur son blog expliquant qu'une faille avait été découverte sur une ancienne version de son wallet, laquelle pouvait compromettre la sécurité des fonds des utilisateurs concernés.
Cette faille concerne exclusivement les utilisateurs utilisant MetaMask sur leur ordinateur à travers un navigateur, les personnes utilisant l'application mobile ne sont par conséquent pas concernées. Selon le communiqué, la faille a été corrigée depuis la version 10.11.3.
À cet effet, la firme encourage vivement ses utilisateurs à effectuer une mise à jour si cela s'avère nécessaire. Cela concernerait toutefois, à priori, seulement une poignée d'utilisateurs du célèbre wallet Ethereum.
Effectivement, selon MetaMask, un utilisateur est potentiellement concerné s'il remplit les 3 conditions suivantes :
- Son disque dur n'était pas chiffré ;
- Il a importé sa phrase de récupération secrète dans une extension de navigateur MetaMask sur un ordinateur potentiellement à risque ;
- S'il a coché la case « Afficher la phrase de récupération secrète » durant le processus d'importation.
Si vous remplissez l'ensemble de ces conditions, alors votre wallet pourrait être exposé. L'équipe de MetaMask recommande vivement, dans ce cas, de transférer les fonds vers un nouveau wallet vers un appareil sûr.
De plus, la vulnérabilité concernerait particulièrement les utilisateurs qui auraient utilisé la méthode d'importation sur un appareil compromis ou volé peu de temps après.
Toutefois, le communiqué précise que les personnes utilisant un hardware wallet (comme Ledger) pour sécuriser leurs fonds sont épargnées par ce risque potentiel. L'occasion de rappeler à quel point il est crucial de sécuriser ses cryptomonnaies via ce type de portefeuille.
? Pour approfondir : Cold wallet et phrases de récupération - pouvez-vous récupérer toutes vos cryptos ?
Le wallet Phantom également concerné
Phantom, un des principaux wallets de la blockchain Solana (SOL), est également concerné. Selon son propre communiqué, des correctifs ont commencé à être appliqués petit à petit depuis le mois de janvier, jusqu'à que la faille soit totalement corrigée grâce à une mise à jour datant du mois d'avril.
La faille se présente de la même façon que pour le wallet MetaMask. Autrement dit, un utilisateur de Phantom peut être concerné dès lors qu'il a importé sa phrase de récupération secrète depuis un navigateur potentiellement vulnérable.
C'est l'entreprise spécialisée dans la sécurité blockchain Halborn qui a découvert la vulnérabilité en premier, avant de la signaler aux équipes de développement des 2 wallets, qui n'ont pas manqué de vivement la remercier. MetaMask a d'ailleurs choisi de lui verser 50 000 dollars en tant que récompense.
L'ingénieur en sécurité qui avait découvert la faille l'année dernière a depuis intégré les équipes de Phantom, ce qui a, selon l'entreprise, apporté une réelle plus-value à la sécurité de ses utilisateurs :
« Nous sommes ravis d'accueillir Oussama Amri, qui a découvert la menace l'année dernière alors qu'il faisait partie de Halborn [...]. Grâce au travail acharné des ingénieurs Josiah Savary et Laamia Islam, non seulement des parties substantielles de notre base de code ont été modifiées, mais nous avons également complètement réécrit la façon dont nous générons les seed phrases. »
Le communiqué de Phantom précise que les détails de la vulnérabilité n'ont pas été dévoilés plus tôt afin que toutes les parties concernées puissent apporter un correctif adapté. La firme souhaite également partager le code source d'une partie de son wallet afin d'aider ses homologues :
« Une fois que des audits supplémentaires auront été réalisés cet été, nous prévoyons d'ouvrir le code source de notre approche du paquet BIP-39 pour la génération de phrases de démarrage afin que d'autres portemonnaies puissent également mieux se protéger et protéger leurs utilisateurs. »
Encore une fois, nous nous permettons de rappeler que la meilleure sécurité pour vos cryptomonnaies est et restera un hardware wallet, afin que vous soyez totalement maître de vos fonds.
? À lire également : Les NFTs BAYC pourraient être la cible d’une nouvelle attaque, selon le cofondateur de Yuga Labs
Cryptoast Research : Ne gâchez pas ce bull run, entourez vous d'expertsSources : Medium MetaMask, blog de Phantom
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.
Maximilien Prué
1206 articles
Pour sécuriser vos fonds, impératif d'utiliser MM avec un hardware wallet type Ledger, en parallèle je vous invite à vous renseigner sur le wallet proposé par QRDO, la nouvelle génération en terme de sécurité pour vos cryptomonnaies