Meilleurs-Crypto.fr

Une faille sur d’anciennes versions de MetaMask et Phantom pourrait exposer certains wallets

Certains wallets MetaMask et Phantom compromis

Mercredi 15 juin, MetaMask a publié un billet sur son blog expliquant qu’une faille avait été découverte sur une ancienne version de son wallet, laquelle pouvait compromettre la sécurité des fonds des utilisateurs concernés.

Cette faille concerne exclusivement les utilisateurs utilisant MetaMask sur leur ordinateur à travers un navigateur, les personnes utilisant l’application mobile ne sont par conséquent pas concernées. Selon le communiqué, la faille a été corrigée depuis la version 10.11.3.

À cet effet, la firme encourage vivement ses utilisateurs à effectuer une mise à jour si cela s’avère nécessaire. Cela concernerait toutefois, à priori, seulement une poignée d’utilisateurs du célèbre wallet Ethereum.

Effectivement, selon MetaMask, un utilisateur est potentiellement concerné s’il remplit les 3 conditions suivantes :

  • Son disque dur n’était pas chiffré ;
  • Il a importé sa phrase de récupération secrète dans une extension de navigateur MetaMask sur un ordinateur potentiellement à risque ;
  • S’il a coché la case « Afficher la phrase de récupération secrète » durant le processus d’importation.

Si vous remplissez l’ensemble de ces conditions, alors votre wallet pourrait être exposé. L’équipe de MetaMask recommande vivement, dans ce cas, de transférer les fonds vers un nouveau wallet vers un appareil sûr.

De plus, la vulnérabilité concernerait particulièrement les utilisateurs qui auraient utilisé la méthode d’importation sur un appareil compromis ou volé peu de temps après.

Toutefois, le communiqué précise que les personnes utilisant un hardware wallet (comme Ledger) pour sécuriser leurs fonds sont épargnées par ce risque potentiel. L’occasion de rappeler à quel point il est crucial de sécuriser ses cryptomonnaies via ce type de portefeuille.

👉 Pour approfondir : Cold wallet et phrases de récupération – pouvez-vous récupérer toutes vos cryptos ?

Le wallet Phantom également concerné

Phantom, un des principaux wallets de la blockchain Solana (SOL), est également concerné. Selon son propre communiqué, des correctifs ont commencé à être appliqués petit à petit depuis le mois de janvier, jusqu’à que la faille soit totalement corrigée grâce à une mise à jour datant du mois d’avril.

La faille se présente de la même façon que pour le wallet MetaMask. Autrement dit, un utilisateur de Phantom peut être concerné dès lors qu’il a importé sa phrase de récupération secrète depuis un navigateur potentiellement vulnérable.

C’est l’entreprise spécialisée dans la sécurité blockchain Halborn qui a découvert la vulnérabilité en premier, avant de la signaler aux équipes de développement des 2 wallets, qui n’ont pas manqué de vivement la remercier. MetaMask a d’ailleurs choisi de lui verser 50 000 dollars en tant que récompense.

L’ingénieur en sécurité qui avait découvert la faille l’année dernière a depuis intégré les équipes de Phantom, ce qui a, selon l’entreprise, apporté une réelle plus-value à la sécurité de ses utilisateurs :

« Nous sommes ravis d’accueillir Oussama Amri, qui a découvert la menace l’année dernière alors qu’il faisait partie de Halborn […]. Grâce au travail acharné des ingénieurs Josiah Savary et Laamia Islam, non seulement des parties substantielles de notre base de code ont été modifiées, mais nous avons également complètement réécrit la façon dont nous générons les seed phrases. »

Le communiqué de Phantom précise que les détails de la vulnérabilité n’ont pas été dévoilés plus tôt afin que toutes les parties concernées puissent apporter un correctif adapté. La firme souhaite également partager le code source d’une partie de son wallet afin d’aider ses homologues :

« Une fois que des audits supplémentaires auront été réalisés cet été, nous prévoyons d’ouvrir le code source de notre approche du paquet BIP-39 pour la génération de phrases de démarrage afin que d’autres portemonnaies puissent également mieux se protéger et protéger leurs utilisateurs. »

Encore une fois, nous nous permettons de rappeler que la meilleure sécurité pour vos cryptomonnaies est et restera un hardware wallet, afin que vous soyez totalement maître de vos fonds.

👉 À lire également : Les NFTs BAYC pourraient être la cible d’une nouvelle attaque, selon le cofondateur de Yuga Labs 

Sources : Medium MetaMask, blog de Phantom

Newsletter 🍞

Recevez un récapitulatif de l’actualité crypto chaque dimanche 👌 Et c’est tout.

Ce qu’il faut savoir sur les liens d’affiliation. Cette page présente des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article sont affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n’y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.

Les investissements dans les crypto-monnaies sont risqués. Cryptoast n’est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l’utilisation d’un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d’entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.

A propos de l’auteur : Maximilien Prué

twitter-soothsayerdata

Passionné par le monde de la finance décentralisée et les nouveautés apportées par le Web 3.0, je rédige des articles pour Cryptoast afin d’aider à rendre la blockchain plus accessible à tous. Persuadé que les cryptomonnaies vont changer le futur très prochainement.
Tous les articles de Maximilien Prué.

Promo