Comment vérifier si ma phrase de départ a été exposée lors d'une fuite de données ?

Comprendre les risques d'exposition aux phrases de départ

1. Une phrase de départ est une séquence déterministe de 12 ou 24 mots anglais qui contrôle entièrement l’accès aux portefeuilles de crypto-monnaie et aux clés privées.

2. Contrairement aux mots de passe, les phrases de départ ne sont jamais transmises sur les réseaux lors de l'utilisation normale du portefeuille. Pourtant, elles deviennent catastrophiquement vulnérables dès qu'elles apparaissent dans un stockage numérique non crypté.

3. L'exposition se produit généralement via des captures d'écran enregistrées sur des lecteurs cloud, des notes en texte brut dans des applications de messagerie, des journaux d'historique du presse-papiers ou des bases de données de remplissage automatique du navigateur indexées par des extensions tierces.

4. Les explorateurs publics de blockchain ne stockent ni ne révèlent les phrases de départ, mais les acteurs malveillants récupèrent régulièrement les référentiels GitHub, les archives Pastebin et les messages du forum à la recherche de modèles correspondant aux listes de mots BIP-39.

5. Il n’existe pas de registre centralisé ni d’API pour « analyser » une phrase de départ par rapport à toutes les violations historiques ; la vérification nécessite une discipline médico-légale manuelle et une connaissance contextuelle de l'endroit et de la manière dont la phrase a été traitée.

Techniques de recherche médico-légale manuelles

1. Effectuez des recherches de correspondance exacte en utilisant des guillemets autour de chaque combinaison de mots sur Google, Bing et DuckDuckGo, par exemple, « abandonner la capacité de ci-dessus absent absorber un abstrait absurde abus accès accident » .

2. Recherchez sur GitHub avec le langage de requête :plaintext 'abandonner' 'capacité' 'capable' de localiser les fichiers texte brut contenant des séquences BIP-39 accidentellement validées dans des référentiels publics.

3. Interrogez les sites de collage publics comme Ghostbin, ControlC et PrivateBin à l'aide de filtres de domaine tels que site:ghostbin.com 'word1 word2 word3' : de nombreux utilisateurs vident les phrases de récupération dans des bacs éphémères sans se rendre compte qu'elles sont archivées.

4. Inspectez les sauvegardes des appareils locaux : les instantanés macOS Time Machine, les archives de sauvegarde Android ADB et les clichés instantanés de volumes Windows conservent souvent des notes en texte brut supprimées contenant des phrases de départ.

5. Vérifiez les autorisations des extensions de navigateur, en particulier celles indiquant « lire et modifier toutes vos données sur les sites Web que vous visitez », car plusieurs extensions compromises ont exfiltré le contenu du presse-papiers contenant des phrases de départ.

Indicateurs comportementaux au niveau du portefeuille

1. L’apparition soudaine de transactions inconnues – même de transferts de micro-valeurs – dans des portefeuilles dérivés de la phrase de départ suspectée signale une compromission.

2. Des modifications inattendues des métadonnées du portefeuille, telles que les noms d'étiquettes, les points de terminaison RPC personnalisés ou les adresses de surveillance uniquement importées, peuvent indiquer une manipulation à distance via un mnémonique exposé.

3. Les échecs répétés des demandes de signature provenant des dApps ou des interfaces de portefeuille matériel suggèrent qu'un attaquant tente des chemins de dérivation par force brute après une exposition partielle.

4. L'apparition d'instances de portefeuille en double sur différents appareils ou navigateurs (en particulier avec des historiques de transactions identiques mais des horodatages de création incompatibles) indique une fuite synchronisée.

5. Les journaux d'activité réseau inhabituels montrant les connexions sortantes vers des domaines C2 de crypto-malwares connus peu de temps après l'entrée de la phrase de départ peuvent être en corrélation avec des logiciels malveillants de grattage de mémoire.

Protocoles de vérification hors ligne

1. Démarrez une clé USB Linux propre et isolée (par exemple, Tails OS) et redérivez manuellement les adresses de portefeuille à l'aide d'outils BIP-39 hors ligne comme le générateur de portefeuille déterministe d'Ian Coleman, jamais de versions en ligne.

2. Comparez chaque adresse dérivée sur plusieurs chemins de dérivation (m/44'/0'/0', m/49'/0'/0', m/84'/0'/0') avec les explorateurs de blockchain pour détecter les mouvements de solde non autorisés.

3. Utilisez des analyseurs d'entropie open source comme entropy-checker.py pour vérifier si la phrase de départ réussit les tests de caractère aléatoire statistique. Si elle échoue, il peut s'agir d'un mnémonique faible ou réutilisé.

4. Croisez les quatre premières lettres de chaque mot BIP-39 avec la liste de mots officielle pour exclure les fautes de frappe ou les substitutions d'homoglyphes (par exemple, « l » contre « 1 », « O » contre « 0 ») qui pourraient indiquer une fuite partielle ou une mauvaise reconnaissance.

5. Auditez l'intégrité du micrologiciel des portefeuilles matériels à l'aide des sommes de contrôle fournies par le fournisseur : certaines attaques de la chaîne d'approvisionnement remplacent le micrologiciel authentique par des versions qui enregistrent les tentatives d'entrée de graine.

Foire aux questions

Q : Puis-je utiliser les explorateurs de blockchain pour rechercher ma phrase de départ ? Non. Les explorateurs de blockchain indexent les adresses publiques et les transactions, et non les phrases de départ. Ils ne contiennent aucune donnée mnémonique.

Q : La saisie de ma phrase de départ dans une interface de portefeuille l'expose-t-elle automatiquement ? Uniquement si le logiciel du portefeuille est compromis, s'exécute sur du matériel infecté ou transmet des données à des serveurs distants : un comportement vérifiable uniquement par l'analyse du trafic réseau et l'audit du code source.

Q : Existe-t-il des extensions de navigateur qui valident en toute sécurité l'intégrité des phrases de départ ? Aucune extension de confiance ne remplit cette fonction. Tous les outils de portefeuille réputés nécessitent une exécution hors ligne. Toute extension prétendant « vérifier la sécurité des semences » doit être traitée comme malveillante.

Q : Qu'est-ce que cela signifie si ma phrase de départ apparaît dans un dépôt GitHub marqué « privé » ? Les référentiels privés sur GitHub ne sont pas à l'abri des fuites, dues au vol d'identifiants d'employés, à des intégrations mal configurées ou à une promotion accidentelle au statut public. Traitez toute apparence comme une exposition confirmée.