MetaMask a émis une mise en garde à l’intention des utilisateurs d’iPhone, de Mac et d’iPad concernant une stratégie d’attaque par phishing ou hameçonnage, après qu’un utilisateur ait signalé avoir perdu 650 000 dollars.
Le risque concerne notamment les appareils qui disposent de sauvegardes automatiques sur iCloud, un paramètre souvent défini par défaut.
Certains utilisateurs enregistrent leurs phrases de démarrage sur iCloud et courent ainsi le risque de voir leurs données compromises dans l’éventualité où un attaquant découvrirait leur mot de passe.
Ainsi, la mise en garde de MetaMask indique :
“Si vous avez activé la sauvegarde iCloud pour les données de l’application, celle-ci comprendra votre coffre-fort MetaMask crypté par mot de passe. Si votre mot de passe n’est pas assez fort et que quelqu’un vole vos informations d’identification iCloud, cela peut se traduire par un vol de fonds.”
L’avertissement s’accompagne également de conseils sur la manière dont les utilisateurs peuvent se protéger de cette menace potentielle. La méthode la plus simple consiste à désactiver les sauvegardes iCloud en se rendant dans la section “Paramètres” et en apportant les modifications nécessaires dans le menu “Sauvegardes”.
Metamask conseille de désactiver les sauvegardes iCloud
Afin d’éviter d’être pris au dépourvu, MetaMask recommande de désactiver les sauvegardes.
Sur Twitter, un internaute au pseudonyme “revive_dom” a annoncé que tous ses actifs avaient été volés, y compris des NFT coûteux, entre autres. Ses pertes s’élèvent à environ 650 000 dollars selon l’expert en sécurité “Serpent”. Le hacker aurait accédé à sa phrase de démarrage depuis iCloud.
Selon la description des événements, revive_dom a reçu des SMS lui demandant de changer son mot de passe Apple ID. Un appel de suivi provenant d’un faux identifiant Apple lui demandait un code de vérification à usage unique afin de prouver qu’il était bien le propriétaire du compte. Il a obtempéré, et les escrocs ont utilisé ce code pour réinitialiser son mot de passe.
“L’escroc aura accès au compte iCloud de la victime, ce qui lui donnera un accès libre à tout, y compris à toutes les données que MetaMask stocke sur iCloud”, a écrit Serpent.
L’expert a ensuite recommandé d’utiliser des portefeuilles de stockage à froid et de ne jamais donner de codes de vérification. “Les informations de l’appelant sont faciles à usurper. Des entreprises comme Apple ne vous contacteront jamais par téléphone.”
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
