Un trader victime d’une arnaque au phishing vient de perdre l’équivalent de 650 000 dollars en cryptomonnaie et en NFT. C’est son compte iCloud qui a été utilisé pour ce vol spectaculaire.
Domenic Lacovone est trader : on pourrait penser que les personnes qui font ce métier sont très informées des risques liés aux escroqueries sur Internet. Mais ce n’est visiblement pas le cas de cet homme, qui s’est fait voler des centaines de milliers de dollars en cryptomonnaie et en NFT il y a quelques jours, suite à une attaque par phishing (hameçonnage) rondement menée.
Après avoir reçu plusieurs mails l’informant qu’il devait changer le mot de passe de son Apple ID en raison de tentatives répétées d’accéder à son compte — témoignant déjà une certaine volonté de lui voler des données — Domenic Lacovone a reçu un étrange appel téléphonique d’Apple. Le trader ne s’est pas méfié car, visiblement, le numéro qui s’affichait sur son portable était bien celui de l’Apple Store en ligne. Il a donc accepté de donner le code unique envoyé par Apple sur son iPhone, à la personne au bout du fil. Grosse erreur.
Un appel à la prudence par MetaMask
La victime a ainsi, sans en avoir conscience en premier lieu, donné l’accès à son compte iCloud à des voleurs qui se sont empressés de récupérer la « seed phrase » de son portefeuille virtuel MetaMask, qui contenait l’équivalent de 160 000 dollars en éther, 100 000 dollars en Ape Coin, 250 000 dollars en Tether, ainsi qu’un NFT Ape Yacht Club. Évidemment, tout a disparu en un rien de temps et le NFT a été très rapidement revendu pour 26,5 éthers, soit environ 80 000 dollars.
🔒 If you have enabled iCloud backup for app data, this will include your password-encrypted MetaMask vault. If your password isn’t strong enough, and someone phishes your iCloud credentials, this can mean stolen funds. (Read on 👇) 1/3
— MetaMask 🦊🫰 (@MetaMask) April 17, 2022
Rapidement révélée, l’affaire a fait réagir MetaMask, qui met en garde ses clients sur Twitter : « Si vous avez activé la sauvegarde iCloud pour les données de l’application, cela inclura votre coffre-fort MetaMask chiffré par mot de passe. Si votre mot de passe n’est pas assez fort, et que quelqu’un hameçonne vos accès à iCloud, cela peut entraîner des vols. » Le service explique également à ses utilisateurs comment désactiver la sauvegarde sur iCloud en se rendant dans Settings > Profile > iCloud > Manage Storage > Backups.
Faille de sécurité ou négligence humaine ?
MetaMask le dit à demi-mot, mais le fait que son application à destination de l’iPhone enregistre automatiquement un fichier contenant la « seed phrase » d’un portefeuille sur iCloud correspond à une faille de sécurité. C’est, en tout cas, la conclusion d’un expert en sécurité cryptographique répondant au pseudonyme de Serpent.
Pour autant, les pirates n’auraient pas pu accéder au compte iCloud de Domenic Lacovone si ce dernier ne leur avait pas directement donné le nécessaire pour s’y connecter : l’erreur est humaine, mais largement aggravée par l’accès simplifié à des données très sensibles.
Serpent donne des conseils de bon sens, mais qui restent visiblement d’actualité : ne donner ses codes d’identification à personne, se méfier des appels qui demandent des informations personnelles même lorsque cela semble légitime et, lorsque des cryptomonnaies sont en jeu, préférer l’utilisation d’un portefeuille froid, c’est-à-dire hors-ligne, plutôt qu’une solution qui implique un stockage dans le cloud. En résumé, ne faites pas comme Domenic Lacovone !