Un défaut dans la sécurité du portefeuille Everscale aurait pu permettre à un cybercriminel de prendre le contrôle des fonds. Check Point Research (CPR) a identifié une vulnérabilité de sécurité dans le portefeuille blockchain d’Everscale. Si cette dernière avait été exploitée, elle aurait permis à un cybercriminel de prendre le contrôle total du portefeuille d’une victime et de ses fonds.
Tribune – La vulnérabilité a été découverte dans la version web du portefeuille d’Everscale, connue sous le nom d’Ever Surf. Disponible sur Google Play et Apple iOS Store, Ever Surf est un messager multiplateforme, un navigateur de blockchain et un portefeuille de crypto-monnaies pour le réseau de blockchain Everscale. Everscale est une plateforme fondée sur le projet de blockchain TON, prédécesseur de Telegram, qui a permis 31,6 millions de transactions et revendique plus de 669 000 comptes dans le monde.
- CPR démontre que, pour un attaquant, décrypter les clés privées et les phrases d’amorçage est tout à fait possible.
- Le décryptage ne prend que quelques minutes sur un matériel basique
- CPR invite à la prudence lors de l’utilisation de crypto-monnaies
En exploitant la vulnérabilité, un pirate aurait pu décrypter les clés privées et les phrases d’amorçage qui sont enregistrées dans le stockage local du navigateur. CPR a décrit la méthode d’attaque éventuelle comme suit :
- Récupération les clés cryptées du portefeuille. En général, les attaquants utilisent des extensions de navigateur malveillantes, des malwares voleurs d’infos ou simplement le phishing pour obtenir les clés.
- Déchiffrage les clés en exécutant un simple script. Grâce à la découverte de cette vulnérabilité, le décryptage ne prend que quelques minutes sur un matériel grand public
- Vol les fonds du portefeuille
Une transparence active
CPR a signalé la vulnérabilité aux développeurs d’Ever Surf, qui ont ensuite publié une version pour desktop réduisant cette vulnérabilité. La version web est désormais déclassée et ne doit être utilisée que pour le développement. Les phrases de récupération des comptes qui stockent une valeur réelle en crypto ne doivent pas être utilisées dans la version Web d’Ever Surf.
Alexander Chailytko, responsable de la cybersécurité, de la recherche et de l’innovation chez Check Point Software précise :
« Nous avons découvert une vulnérabilité dans le célèbre portefeuille blockchain Everscale. En effet, les clés du portefeuille peuvent être facilement décryptées par un attaquant. Posséder les clés implique un contrôle total du portefeuille de la victime, et donc de ses fonds. Everscale est le successeur technologique du réseau TON, qui a été développé par l’équipe de Telegram. En même temps, Everscale en est encore aux premiers stades de son développement. Nous sommes partis du principe que des vulnérabilités pouvaient très bien exister dans un produit aussi récent. Nous étions également curieux de savoir comment la protection des clés était assurée dans le portefeuille le plus populaire de cette blockchain. La démonstration de faisabilité de CPR présente plusieurs vecteurs d’attaque qui peuvent conduire un attaquant à obtenir des clés privées et des phrases de récupération en clair, qui peuvent ensuite être utilisées pour prendre le contrôle total du portefeuille de la victime. »
Il ajoute :
« Travailler avec des crypto-monnaies, implique beaucoup de prudence, il faut s’assurer que les appareils ne contiennent pas de malware, ne pas ouvrir de liens suspects, maintenir le système d’exploitation et les logiciels anti-virus à jour. Même si les vulnérabilités que nous avons trouvées ont été corrigées dans la nouvelle version desktop du portefeuille Ever Surf, les utilisateurs sont susceptibles de se retrouver face à d’autres menaces : des vulnérabilités dans les applications décentralisées, ou des menaces générales comme la fraude, le phishing. »
Conseils de cyber-sécurité
L’équipe de CPR tient à rappeler que les transactions blockchain sont irréversibles. En blockchain, contrairement à une banque, on ne peut pas bloquer le vol d’une carte ou contester une transaction. Si un utilisateur se fait voler les clés de son portefeuille, ses crypto-monnaies peuvent devenir des proies faciles pour les cybercriminels, et personne ne pourra l’aider à récupérer son argent. Pour éviter le vol des clés, voici certaines recommandations :
- Ne pas suivre de liens suspects, surtout s’ils émanent d’inconnus.
- Il faut maintenir le système d’exploitation et son logiciel anti-virus à jour
- Ne pas télécharger de logiciels ni d’extensions de navigateur venant de sources non vérifiées