En cherchant le mot-clé “Trezor” sur l’App Store, vous tomberez sur une application qui risque de vider votre wallet crypto.
Disponible depuis déjà plusieurs semaines sur l’App Store, l’application en question s’appelle Trezor Wallet Suite. Et d’après l’avocat Rafal Yakobi, des milliers de personnes seraient tombées dans le piège.
Quel est le modus operandi de Trezor Wallet Suite ?
L’avocat Rafael Yakobi, associé directeur au sein du cabinet The Crypto Lawyers, est le premier à avoir tiré la sonnette d’alarme sur l’application malveillante.
“L’utilisation correcte et sécurisée de la crypto nécessite une prudence extrême. Si vous connaissez quelqu’un qui utilise un wallet Trezor, n’hésitez pas à le mettre en garde”.
Pour rappel, Trezor propose des wallets crypto matériels qui permettent aux investisseurs de stocker leurs crypto actifs hors ligne. Ainsi, ils sont potentiellement moins vulnérables aux attaques.
Sa véritable application iOS s’appelle “Trezor Suite Lite” et permet aux utilisateurs d’échanger des crypto actifs, de vérifier leur solde, etc.
En règle générale, les fabricants de portefeuilles crypto matériels demandent aux utilisateurs de stocker leur phrase secrète (ou phrase de départ) hors ligne. Cette dernière offre une couche supplémentaire de sécurité. D’ailleurs, elle ne doit être utilisée que dans l’application où elle a été générée pour la première fois.
Grâce à son système de récupération Shamir, Trezor permet aux utilisateurs de générer plusieurs phrases secrètes qu’ils peuvent conserver dans différents emplacements physiques.
Après avoir téléchargé l’application, les utilisateurs peuvent sélectionner le nombre de phrases secrètes à fournir pour débloquer les fonds. Par exemple, ils peuvent générer trois phrases de départ mais n’en utiliser que deux pour déverrouiller l’accès à leurs fonds.
Ainsi, les utilisateurs qui sont tombés dans le piège de la fausse application Trezor ont probablement créé une seule phrase de départ. En effet, la génération de plusieurs phrases secrètes oblige les utilisateurs à créer de nouveaux portefeuilles.
En revanche, ceux qui utilisent plusieurs phrases secrètes sont peu susceptibles de se faire piéger par Trezor Wallet Suite.
L’heure est à la prudence
Comme on pouvait s’y attendre, de nombreux utilisateurs ont remis en question les mécanismes de vérification d’Apple.
Afin de lancer une application sur Apple Store, les développeurs ont besoin d’un compte Apple. L’application doit également être conforme aux fonctionnalités décrites sur la page du produit. Apple a également mis en place des directives strictes sur la collecte et la gestion des données des utilisateurs.
Les applications doivent contenir du contenu auto-développé. Sinon, le développeur doit avoir toutes les licences nécessaires pour utiliser le contenu.
De même, en raison du flou juridique entourant le marché crypto (en particulier aux États-Unis), Apple impose des règles supplémentaires aux entreprises Web3.
Par exemple, les exchanges crypto ne peuvent proposer des wallets dépositaires que dans les régions où ils disposent d’une licence. De même, les wallets non-custodial sont soumis à une longue liste de règles.
Les développeurs ne doivent pas exiger des paiements en crypto ou en NFT pour débloquer de nouvelles fonctionnalités. Ils ne doivent pas non plus intégrer des liens qui redirigent les utilisateurs vers des sites web tiers pour acheter des articles supplémentaires.
Malgré ce système de vérification strict, les développeurs malveillants continuent de détourner les règles pour piéger leurs victimes.
Morale de l’histoire : Deux précautions valent mieux qu’une !
Trusted
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
