Une faille de sécurité dans Monero met en danger les fonds des utilisateurs

Hier, des chercheurs bénévoles en sécurité ont détecté une faille de sécurité dans le portefeuille Monero, qui aurait pu inciter ses utilisateurs à télécharger une version malveillante, mettant ainsi leurs fonds en danger.

Le 19 novembre 2019, un membre de l'équipe XMR Core, /u/binaryFate, a publié un avertissement de sécurité concernant Monero sur le subreddit dédié, signalant un piratage potentiel des binaires en ligne de commande (CLI) au cours des dernières 24 heures. D'après ce message, certains utilisateurs de portefeuilles Monero ont constaté que le hachage des binaires téléchargés était différent de celui attendu. Bien que le problème soit désormais public, il n'est toujours pas résolu.

Une faille de sécurité majeure dans Monero

L'équipe exhorte donc toute personne ayant téléchargé les fichiers binaires au cours des dernières 24 heures et n'ayant pas vérifié leur authenticité à vérifier immédiatement la correspondance des hachages. En cas de non-correspondance, il est demandé de ne pas exécuter le fichier téléchargé. Quant à ceux qui l'ont déjà exécuté, ils sont priés de transférer tous les fonds hors de leur portefeuille afin d'éviter tout vol.

Entre-temps, les modérateurs ont demandé la coopération des utilisateurs jusqu'à ce que l'équipe de sécurité puisse identifier et résoudre ce problème. En attendant, si vous souhaitez utiliser la version sécurisée du Monero , l'équipe Monero a partagé le lien vers les hachages corrigés.

Les pirates informatiques pourraient prendre le contrôle sans autorisation

Justin Ehrenhofer, organisateur du groupe de travail Monero Malware Response, explique que si le site web de Monero a souvent été ciblé par des pirates informatiques, c'était en réalité la première fois qu'il était compromis. Il ajoute que les chercheurs ont détecté un code qui transfère la phrase mnémonique Monero, contenant les informations des clés privées, vers le serveur des pirates, mettant ainsi en péril les fonds des victimes stockés dans leur portefeuille.

Une enquête plus approfondie sur les activités liées à l'accès à distance suggère que les attaquants pourraient avoir la capacité d'effectuer d'autres actions non autorisées au nom des utilisateurs, a ajouté Ehrenhofer.

Une catastrophe qui aurait pu être évitée

Parallèlement, un chercheur en cybersécurité anonyme, propriétaire d'un site web spécialisé dans la sécurité, a fait remarquer que si Monero avait communiqué sur la faille de sécurité bien plus tôt, de nombreux utilisateurs auraient été épargnés par la vérification fastidieuse de leurs fichiers téléchargés. Au lieu de cela, selon lui, Monero a choisi de publier les avertissements jusqu'à quatorze heures après la faille, et uniquement sur des plateformes comme Twitter et Reddit, exposant ainsi un grand nombre de ses utilisateurs à un risque.

Si seulement le site officiel de Monero avait averti ses utilisateurs du risque potentiel immédiatement après la découverte de la faille, beaucoup de dégâts auraient pu être évités, affirme l'expert en cybersécurité.

Image mise en avant par Pixabay