Un investisseur en cryptomonnaies voit ses portefeuilles vider de 800 000 $ en 46 heures

Un investisseur en cryptomonnaies, connu sous le pseudonyme de Sell When Over, a partagé sur Twitter son calvaire : un pirate informatique lui a dérobé 800 000 $ de ses portefeuilles en seulement 46 heures. Le problème semble provenir d’une faille de sécurité potentielle de Google Chrome, possiblement due à des mises à jour tardives ou à un logiciel malveillant non détecté, entraînant l’installation non autorisée d’extensions malveillantes.

Le démantèlement des couches de sécurité

Sell ​​When Over a raconté comment il avait repoussé une mise à jour de Chrome, avant d'être contraint de l'installer suite à une mise à jour de Windows. Après le redémarrage, les modifications apportées à Chrome ont été immédiates : disparition d'onglets et réinitialisation des identifiants des extensions. Cette anomalie l'a obligé à réimporter ses clés de récupération de portefeuille, une opération qu'il a effectuée méticuleusement depuis un appareil secondaire non compromis.

Cependant, la découverte de deux extensions étranges, « Sync Test Beta » et « Simple Game », ainsi que l'activation inopinée de la traduction automatique en coréen, ont révélé une brèche plus importante. Curieusement, une application de portefeuille spécifique, épargnée par la réimportation, est restée intacte, ce qui a permis de localiser l'origine de la faille : un seul ordinateur compromis.

Une analyse plus approfondie de ces extensions a révélé des fonctionnalités alarmantes. « Sync Test Beta », une extension aux couleurs vives, a étédentcomme un enregistreur de frappe, transmettant secrètement des données à un script PHP externe. Par ailleurs, « Simple Game » semblait surveiller l'activité des onglets du navigateur. Sell When Over a déploré, avec le recul, la pertinence d'une réinitialisation complète du PC à la moindre anomalie, surtout lorsque de telles bizarreries coïncident avec des mises à jour importantes comme la refonte de l'interface utilisateur de Chrome.

Une leçon coûteuse en matière de vigilance numérique

Alors que la discussion prenait de l'ampleur, Sell When Over a révélé une faille de sécurité critique : une violation de compte Google liée à un appareil Windows peu connu, utilisant probablement un nom d'appareil familier pour échapper à la détection. Cette violation a été tracjusqu'à un VPS hébergé par Kaopu Cloud, tristement célèbre dans le milieu du piratage pour son implication dans diverses cyberattaques. Malgré l'activation de l'authentification à deux facteurs (2FA), l'attaquant a réussi à la contourner, laissant planer le doute sur la méthode exacte employée, allant du phishing OAuth au cross-site scripting.

Cetdent a servi de brutal électrochoc, et Sell When Over a partagé plusieurs enseignements clés :

1. Déception face à l'incapacité de Bitdefender à détecter la moindre menace, contrairement à l'efficacité de Malwarebytes.
2. Mise en garde contre tout relâchement en matière de sécurité, quel que soit le volume de cryptomonnaies manipulées.
3. Il est formellement déconseillé de saisir des phrases de récupération sous quelque prétexte que ce soit ; il est plutôt recommandé de configurer un nouveau système.
4. J'abandonne Chrome au profit de navigateurs plus sécurisés comme Brave.
5. L'importance de la séparation des appareils, notamment pour les transactions en cryptomonnaies.
6. Surveillance régulière des alertes d'activité Google.
7. Il est recommandé de désactiver la synchronisation des extensions, en particulier sur les appareils dédiés au chiffrement.
8. Reconnaissance des limites de l'authentification à deux facteurs.
9. La nécessité de procéder régulièrement à des audits de sécurité et à des mises à jour des procédures afin de prévenir les menaces latentes.

Malgré les pertes financières, Sell When Over a tenu à préciser que son portefeuille électronique restait sécurisé, écartant toute spéculation quant à une quelconque intention de fraude fiscale. Bien qu'une partie des fonds volés ait commencé à être blanchie, une prime de 150 000 $ a été offerte pour leur restitution, assortie d'une rémunération pour une enquête forensique.

L'affaire s'est conclue sur une note de vigilance continue, notamment face à la décision discutable de Google de regrouper les alertes de sécurité – une pratique qui a potentiellement masqué l'intrusion.