Des analystes en sécurité dénoncent l'exposition « extrêmement imprudente » de Coinbase au phishing

Une page sur un sous-domaine officiel de Coinbase qui invite les utilisateurs à saisir leurs phrases de récupération en clair pour récupérer leurs actifs cryptographiques a été signalée par des experts en sécurité blockchain. 

Leur principal reproche concernant la configuration de la page Coinbase est qu'elle risque d'exposer les utilisateurs à des attaques d'ingénierie sociale classiques, et que cette exposition est peut-être déjà entre les mains de criminels.

Cette page a été publiée dans le cadre du processus de fermeture de Coinbase Commerce avant l'échéance du 31 mars.

Coinbase suscite la colère en exposant ses clients à des menaces de phishing

Une page Coinbase a été signalée publiquement le 19 mars 2026 par Yu Xian, connu en ligne sous le nom d'Evilcos, le fondateur de la société de sécurité blockchain SlowMist. 

Xian a écrit sur X, en partageant également des captures d'écran : « Je suis vraiment perplexe : pourquoi Coinbase aurait-il une page comme celle-ci, demandant directement aux utilisateurs de saisir leurs phrases mnémoniques en clair pour la récupération de leurs actifs ? Une pratique aussi peu sécurisée est tout simplement incroyable… J'ai presque cru que le sous-domaine avait été piraté. »

Cette alerte survient également à un moment délicat pour Coinbase et certains de ses utilisateurs, car sa plateforme Commerce est dans les dernières semaines d'une fermeture, ce qui pousse des milliers de commerçants à récupérer leurs fonds de toute urgence. 

C’est précisément ce genre de pression liée aux délais qui rend les utilisateurs pressés et moins attentifs à l’endroit où ils saisissent leursdent. 

Les utilisateurs ont également la possibilité de copier les phrases qu'ils ont enregistrées sur des services de stockage cloud comme Google Drive.

La documentation d'aide de Coinbase indique que la société ne demandera jamais la phrase de récupération d'un utilisateur et n'y aura jamais accès, un principe que la page Commerce semble contredire directement.

Comment les attaquants pourraient-ils exploiter cette faille ?

L'inquiétude des chercheurs va au-delà de ce que Coinbase pourrait faire des données. Selon eux, la conception de la page offre un modèle pour la fraude. 

23pds, responsable de la sécurité des systèmes d'information chez SlowMist, a déclaré: « Bien que le lien provienne du site Web officiel de Coinbase, demander directement aux utilisateurs de transmettre leur phrase mnémonique pour vérifier leurs actifs est extrêmement imprudent. »

23pds a également ajouté qu'un autre problème concernant la page est que « le site web auquel elle renvoie possède un plan de site défectueux. Des attaquants pourraient facilement utiliser des outils comme ResourcesSaver pour télécharger le code source et déployer un site web similaire. Si cela est combiné avec un domaine similaire comme Coinbase pour des attaques de phishing, les utilisateurs pourraient facilement tomber dans le piège. »

enquêteur spécialisé dans les cryptomonnaies ZachXBTet qui a documenté des vols de cryptomonnaies se chiffrant en centaines de millions de dollars liés à l'ingénierie sociale, a été direct dans son évaluation. 

« En gros, Coinbase a une page officielle accessible que des personnes mal intentionnées peuvent utiliser pour cibler les utilisateurs de Coinbase via une ingénierie sociale basée sur la phrase de récupération ? » a-t-il écrit. Dans un commentaire suivant, il a ajouté : « J’espère que l’équipe corrigera et supprimera cette faille au plus vite. »

Au moment de la publication, Coinbase n'avait fait aucune déclaration concernant ce problème ni supprimé la page.

Coinbase ou ses utilisateurs ont-ils déjà été victimes d'exploitation ?

Coinbase a déjà été critiquée par le passé pour sa gestion des menaces d'ingénierie sociale visant ses clients. 

En février 2025, ZachXBT a signalé que les utilisateurs avaient perdu plus de 65 millions de dollars à cause de telles attaques en seulement deux mois, ce qui représente une partie des pertes annuelles estimées à 300 millions de dollars. L'enquêteur adentdes schémas dans lesquels les fraudeurs se faisaient passer pour le personnel du support Coinbase et utilisaient des panneaux d'administration clonés pour automatiser les attaques en temps réel.

Quelques mois plus tard, en mai 2025, une fuite de données a exposé les données personnelles d'un certain nombre d'utilisateurs. Coinbase a confirmé que cette fuite était due à la corruption d'agents du support technique à l'étranger par des criminels. 

L'entreprise a licencié les employés concernés, informé les autorités de régulation et offert aux utilisateurs touchés un an de surveillance de crédit. Elle a également provisionné entre 180 et 400 millions de dollars pour couvrir les coûts de réparation et les remboursements volontaires des clients, et annoncé une récompense de 20 millions de dollars pour toute information menant à des arrestations. 

La page Commerce actuelle pourrait être considérée comme une cible facile pour les personnes mal intentionnées, et l'alerte récente lancée par Evilcos devrait inciter la plateforme d'échange à prendre des mesures urgentes pour atténuer toute exploitation future.