“J’ai été piraté et je ne sais même pas ce qui s’est passé”, s’est plaint un utilisateur de cryptomonnaies sur Twitter. “J’ai laissé mon wallet ouvert dans mon navigateur sur MetaMask et on s’y est infiltré. J’ai perdu tous mes saitama, floki et hokk.”
Un petit investisseur en crypto, @ltjyaussie dit qu’il a toujours été prudent en ce qui concerne la sécurité de son wallet mais qu’il ne savait d’où était venu l’attaque qui l’avait frappé cette fois-ci. L’investisseur basé à Chypre a été victime d’une attaque systématique. Malgré toutes ses défenses supposées, il s’est quand même fait avoir.
Il n’est que l’un des millions d’investisseurs ordinaires – un bon nombre d’entre eux étant des débutants – qui pourraient faire face à des menaces similaires alors qu’ils cherchent à tirer profit de l’importante montée anticipée de Bitcoin (BTC) au cours des deux derniers mois de 2021 et même avant cela.
Alors, que peuvent faire les investisseurs particuliers en cryptomonnaies pour rendre leur argent aussi sûr et sécurisé que possible ?
Ne partagez jamais vos clés de sécurité
James Wo, en tant que fondateur et PDG gère des millions de dollars pour le fond spéculatif Digital Finance Group, souligne qu’une règle empirique utile pour protéger les actifs cryptos est de “ne jamais laisser personne connaître les phrases de sécurité de votre wallet“. En termes simples, les phrases de sécurité sont une forme de mot de passe complexe qui empêche le vol et l’accès non autorisé à son wallet.
James Wo a mis en garde contre l’utilisation de connexions Internet non sécurisées lors de transactions sur des appareils personnels tels que des téléphones portables et des tablettes. En d’autres mots il faut vérifier l’URL des sites Web que vous visitez souvent, en particulier ceux que vous utilisez pour faire du trading. Ou simplement les mettre en favoris.
“Il est également recommandé aux utilisateurs de détenir plusieurs wallets pour stocker leurs cryptomonnaies”, a déclaré Mr. Wo à BeInCrypto dans une interview. Cela aidera à ‘protéger les wallets des utilisateurs’ et à atténuer les pertes en cas de brèche, a-t-il ajouté.
James Wo a averti que l’ouverture de “tout lien suspect et inconnu lors de transactions cryptos” peut s’avérer coûteuse. C’est parce que « les pirates intègrent des liens malveillants dans des publicités et des e-mails », ou même des messages texte, pour effectuer ce qu’on appelle une attaque de phishing afin de voler des fonds stockés dans des portefeuilles en ligne.
Les escroqueries par phishing
Le phishing (ou hameçonnage) se présente sous plusieurs formes, mais implique généralement un cyber-attaquant incitant des victimes sans méfiance à révéler des informations sensibles ou à visiter un site Web piégé. Les utilisateurs reçoivent généralement des e-mails ou des messages venant prétendument d’un fournisseur de wallet de confiance leur demandant de modifier leurs mots de passe ou leur phrase de sécurité.
Une fois ces informations entre les mains du hacker, il les utilisera pour créer de nouvelles informations de connexion et voler les fonds.
Dans d’autres cas, les pirates informatiques prennent le contrôle de sites Web légitimes (comme ce qui est arrivé à Pancakeswap) et les remplacent par une fausse interface, avant d’inciter les utilisateurs à saisir leurs phrases de sécurité sur le site frauduleux. L’utilisation d’un VPN (réseau privé virtuel) résout généralement ce problème, disent les experts, car il crypte le trafic.
“Au-delà du phishing, il existe également des applications mobiles malveillantes qui ont la capacité cachée d’enregistrer les caractères tapés par les utilisateurs ou de consulter l’activité sur l’écran de ces derniers”, a expliqué James Wo. “Les investisseurs particuliers qui choisissent des plateformes non qualifiées pour investir ou trader sont également exposés au risque de perdre leur argent en cas de faille du système.”
Attaques crypto de “dépoussiérage” (dusting attack)
Le bull run de 2017 a été largement poussé par les investisseurs particuliers. Maintenant, sachant que le nombre de personnes ordinaires investissant dans la crypto a grimpé de près de 900% mondialement au cours de la dernière année, selon Chainalysis, les petits investisseurs devraient, une fois de plus, jouer un rôle important dans la progression de Bitcoin vers le seuil psychologique des 100 000 $ cette année.
Cela dit, nombreux sont ceux qui restent encore vulnérables aux cyberattaques. Raul Ayala est un investisseur crypto de Los Angeles dans l’État américain de Californie. Un jour, une crypto du nom de key7 est apparue de manière aléatoire dans son portefeuille Coinbase et il ne savait pas quoi en faire.
“On m’a conseillé de ne pas essayer [de] la vendre, sinon cela pourrait effacer mon wallet. Donc je ne vais même pas y toucher”, a déclaré Ayala, inquiet, dans un tweet. Il venait d’échapper à une attaque dite de dépoussiérage, ou dusting attack, une activité offensive utilisée par les cybercriminels pour briser et désanonymiser la vie privée des utilisateurs de crypto en envoyant une infime quantité de tokens dans leurs wallets.
“Le nombre de tokens envoyés est si petit qu’ils sont à peine perceptibles, et c’est de là que vient le nom “poussière”, explique Wo, le gestionnaire de fonds spéculatifs. “L’activité transactionnelle de ces portefeuilles en ligne est ensuite traquée par les attaquants, qui effectuent une analyse combinée de différentes adresses pour désanonymiser la personne ou l’entreprise derrière chaque wallet.”
Les attaques de dusting peuvent être évitées en utilisant des wallets qui créent de nouvelles adresses IP à chaque fois qu’une transaction est effectuée, ce qui la rend difficile à retracer, a-t-il ajouté.
La faute aux investisseurs particuliers de cryptomonnaies
Oleg Belousov, PDG de la plateforme d’échange d’actifs numériques N.Exchange, a déclaré à BeInCrypto que “le meilleur moyen [de protéger ses fonds] est d’avoir un cold wallet auto-hébergé”. Il s’agit d’un type de wallet qui n’est pas connecté à Internet, puisque c’est le lieu où se produisent la plupart des vols.
Il suggère de conserver les fonds dans des portefeuilles matériels tels que Ledger ou Trezor, même si de récents tests de sécurité ont révélé que ces derniers pouvaient céder au bout de seulement 15 minutes suivant l’accès physique au portefeuille.
Oleg Belousov préfère que les investisseurs particuliers conservent leurs actifs dans les wallets officiels des cryptomonnaies qu’ils achètent, et non dans des “applications qui promettent ne pas avoir de droit de garde” alors que souvent “leur code source est fermé ou non audité”.
Cependant, les investisseurs particulier peuvent dits responsables pour la perte de leur propre argent.
“Croyez-le ou non, la plupart des gens envoient leur argent à des escrocs de leur propre gré, ce qui signifie que l’ingénierie sociale (le phishing) et les programmes d’investissement à haut rendement sont responsables de 90% ou plus des escroqueries dont les nouveaux arrivants sont victimes”, a déclaré Oleg Belousov.
Trusted
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
