[màj] Vous utilisez Metamask sous iOS ? Désactivez vite sa sauvegarde iCloud

Un trader victime d’une arnaque au phishing vient de se faire voler l’équivalent de 650 000 dollars en cryptomonnaie et NFT stockés dans son wallet Metamask. Son compte iCloud a servi de porte d'entrée au piratage pour ce vol. Ce vol montre une faille de sécurité béante dans la gestion des sauvegardes Metamask sous iOS et iCloud. Il est impératif de désactiver la sauvegarde Metamask dans iCloud. Voici la marche à suivre.

[Mise à jour 23/04/2022] : Il semblerait qu'une prise de conscience eu lieu chez Metamask. En effet, à la suite de cette affaire, ConsenSys AG a déployé (le 22/04/22) une mise à jour critique de son application Metamask qui passe à la v5.0.1 :

Nouveautés de la mise à jour Metamask v5.0.1

Il est intéressant de se pencher sur la première nouveauté :

Increase the security of your crypto assets with MetaMask mobile’s first (of many) hardware wallet integrations featuring Keystone! Keep your Secret Recovery Phrase (SRP) and private keys offline in the Keystone device to maximize your security and easily connect to MetaMask via QR codes to sign transactions.

Traduction :

Augmentez la sécurité de vos actifs cryptographiques avec la première (parmi de nombreuses autres) intégration de portefeuilles matériels de MetaMask mobile avec Keystone ! Gardez votre Secret Recovery Phrase (SRP) et vos clés privées hors ligne dans le dispositif Keystone pour maximiser votre sécurité et connectez-vous facilement à MetaMask via des codes QR pour signer des transactions.

Metamask a enfin modifié la manière dont l'application gère nos seed phrases et clé privées lors d'une sauvegarde sur iCloud. Désormais, lorsque vous utilisez la sauvegarde sur iCloud (donc en ligne), l'application n'y sauvegardera plus les seed et clés privées, mais les stockera dans une enclave dédiée et sécurisée de votre appareil, localement et hors-ligne.

De quoi ajouter une couche de sécurité supplémentaire, et éviter au maximum ce type de piratage qui aurait facilement pu être évité, et en particulier à ce niveau.

En ce qui me concerne, j'ai choisi de conserver la désactivivation de la sauvegarde sur iCloud. En cas de restauration d'un portefeuille, par exemple lors d'une réinitialisation de l'appareil, vous pouvez facilement restaurer votre wallet avec votre seed ou clé privée, et d'y ajouter manuellement tous vos actifs.

Metamask (ConsenSys AG) reste évidemment un éditeur sérieux (bien que la façon dont était sauvegardée la seed ne l'était pas), influent et reconnu dans le milieu, libre à vous de désactiver définitivement la sauvegarde iCloud Metamask, ou au contraire de la conserver suite à cette nouvelle mise à jour critique. Visiblement, la faille de sécurité ayant permis ce piratage a été corrigée.

Le piratage du trader

L'affaire a débutée en ce mois d'avril 2022 suite au piratage du portefeuille Metamask d'un trader, Domenic Lacovone. Ce dernier utilisait Metamask sous iOS comme des millions d'autres utilisateurs dans le monde, il s'agit du portefeuille de gestion d'actifs numériques le plus populaire (sur ordinateur) auprès des investisseurs en crypto, aussi bien débutants que confirmés. Son portefeuille contenait l'équivalent de $160 000 en Ether, $100 000 en Ape Coin, $250 000 en Tether USDT, ainsi qu'un NFT de la collection Ape Yacht Club. Le NFT n'intéressant visiblement pas les hackers, celui-ci a été revendu pour 26 Ether, soit environ $80 000 à l'heure de l'écriture de cet article.

Mais ce que manifestement personne ne soupçonnait, est que l'application mobile Metamask sous iOS sauvegarde des données sur iCloud qu'elle ne devrait pas, dont une critique, la seed phrase associée au portefeuille. La plupart du temps, cette seed phrase est stockée localement dans votre appareil dans une enclave sécurisée, c'est notamment le cas de Trust Wallet.

Cette phrase secrète (12 ou 24 mots) permet de prendre le contrôle total d'un portefeuille, laissant donc la porte ouverte à toutes les manipulations malveillantes possibles dont le vol et transfert des actifs vers un portefeuille extérieur. Une fois qu'un transfert a été initié, il est impossible de revenir en arrière, causant la perte totale de son patrimoine de crypto-actif.

Comment les hackers ont accéder au portefeuille

Dans un premier temps, les pirates ont envoyés plusieurs mails de phishing au trader lui informant qu'il devait changer le mot de passe de son Apple ID, suite à de pseudos tentatives répétées d'accès à son compte.

Dans un second temps, ils ont directement contacté le trader par téléphone en se faisant passer pour Apple, et pour cause, l'appel était identifié sous Apple Inc sur son écran. Mis en confiance par les pirates au bout du fil, il a malheureusement accepté de communiquer une donnée confidentielle, à savoir le code de validation à 6 chiffres envoyés sur son iPhone afin de valider l'accès à son compte iCloud.

On pourrait légitimement penser, et manifestement à tort, que les traders qui seraient des utilisateurs avertis au vu des montants énormes qu'ils manipulent, qu'ils ne tomberaient pas dans un piège vieux comme le monde. Eh bien non, il en existe encore qui n'ont pas une bonne hygiène en matière de sécurité et de bonnes pratiques à adopter.

On ne le répétera jamais assez, aucun éditeur sérieux ne vous demandera d'informations confidentielles ou de confirmer votre seed phrase à 12 ou 24 mots. Jamais.

Je vous rappelle néanmoins quelques bonnes pratiques à adopter :

  • Ignorez tous les e-mails vous invitant à "vérifier" votre portefeuille Metamask, Trust wallet, etc, en indiquant votre seed phrase ou clé privée. Ces données sont confidentielles, privées, sensibles, critiques et ne doivent jamais être communiquées à quiconque. Et ni l'éditeur de Metamask, Trust wallet ni les bourses (Binance, Coinbase, Pancakeswap, Biswap, Uniswap, etc) ne vous demanderont de telles informations.
  • Ignorez toutes les demandes d'informations personnelles telles que le code de vérification reçu par SMS, e-mail ou affiché sur l'écran de votre appareil. Là aussi, jamais un éditeur ne vous demandera une telle information.
  • Ignorez tous les messages vous indiquant que votre portefeuille aurait été bloqué par mesure de sécurité, et vous invitant à le débloquer en communiquant votre seed phrase ou clé privée.
  • Ne réutilisez jamais un portefeuille dont la seed phrase a été compromise, créez-vous un nouveau portefeuille et une nouvelle seed phrase en quelques minutes, et utilisez KeepassXC afin de générer des mots de passe forts.

Appel à la prudence par Metamask

Face à ce piratage, et la faille qui a permis ce vol, l'éditeur de Metamask s'est retrouvé dans l'embarras. En effet, la faille de sécurité qui consiste à sauvegarder la seed phrase a permis ce piratage, et sans doute d'autres à venir si les utilisateurs ne prennent pas conscience et ne s'informent pas.

Metamask a réagit sur les réseaux sociaux en indiquant la marche à suivre pour désactiver la sauvegarde iCloud.

🔒 Si vous avez activé la sauvegarde iCloud pour les données de l'application, celle-ci inclura votre coffre-fort MetaMask crypté par mot de passe. Si votre mot de passe n'est pas assez fort et que quelqu'un hameçonne vos informations d'identification iCloud, cela peut signifier des fonds volés. (Lire la suite 👇) 1/3

Vous pouvez désactiver les sauvegardes iCloud pour MetaMask spécifiquement en désactivant le commutateur ici :
Paramètres > Profil > iCloud > Gérer le stockage > Sauvegardes.
2/3

Si vous voulez éviter qu'iCloud ne vous surprenne avec des sauvegardes non demandées à l'avenir, vous pouvez désactiver cette fonctionnalité de la manière suivante :
Réglages > Apple ID/iCloud > iCloud > Sauvegarde iCloud.
3/3

Désactiver la sauvegarde Metamask sous iCloud (iOS)

Je vous invite dès à présent et sans tarder, à désactiver la sauvegarde iCloud de Metamask comme indiqué dans le tweet 2/3 :

Réglages => Apple ID (votre nom en haut) => iCloud => Gérer le stockage => Sauvegardes => Votre appareil (en touchant son nom).
Puis dans la liste des applications qui apparaît, désactivez Metamask en effleurant son bouton associé en bout de champs.

C'est fait, vous avez désactivé la sauvegarde iCloud pour Metamask. Profitez-en pour passer en revue les autres applications de la liste.

Le secteur des cryptomonnaies doit composer avec énormément d'escroqueries en tous genres, soyez vigilant.

Et pour conclure, de nouveau, ne communiquez jamais votre seed phrase (phrase secrète, passphrase, etc), clé privée, SMS et autre code de confirmation, et ce, sous aucun prétexte et quel que soit la sollicitation, vérifiée ou non. Aucun éditeur ou banquier sérieux ne vous demandera de telles informations (hautement confidentielles), le cas échéant, fuyez.

Une erreur à signaler ? Contact.