Un portefeuille crypto peut-il être piraté ? (Comprendre les risques)

Comment fonctionne la sécurité du portefeuille

1. Les clés cryptographiques constituent le fondement de la sécurité du portefeuille : les clés privées doivent rester hors ligne et inaccessibles aux tiers.

2. Les clés publiques génèrent des adresses de portefeuille, permettant des transactions sans exposer de données sensibles.

3. Les portefeuilles matériels isolent les opérations de clé privée dans des enclaves sécurisées, empêchant ainsi l'extraction à distance lors de la signature.

4. Les portefeuilles logiciels s'appuient sur des protections au niveau des appareils telles que le sandboxing du système d'exploitation et le stockage local crypté.

5. Les systèmes multi-signatures nécessitent une coordination entre plusieurs appareils ou dépositaires, ce qui augmente le seuil d'accès non autorisé.

Vecteurs d'attaque courants

1. Les ordinateurs infectés par des logiciels malveillants peuvent enregistrer les frappes au clavier ou intercepter le contenu du presse-papiers lorsque les utilisateurs collent des phrases de départ ou des clés privées.

2. Les domaines de phishing imitent les interfaces de portefeuille légitimes, incitant les utilisateurs à saisir des phrases de récupération sur de faux sites.

3. Les compromissions de la chaîne d'approvisionnement ont affecté la construction de portefeuilles open source, injectant du code malveillant avant la distribution.

4. Les attaques par échange de carte SIM contournent le 2FA basé sur SMS, permettant ainsi aux attaquants de contrôler les comptes de messagerie ou de téléphone associés utilisés pour la récupération du portefeuille.

5. Le vol physique de portefeuilles matériels non cryptés associé à des codes PIN faibles permet des tentatives par force brute contre les protections du micrologiciel intégré.

Vulnérabilités des phrases de départ

1. Écrire des phrases de départ sur du papier stocké à proximité d’ordinateurs invite à une compromission physique si l’emplacement est découvert.

2. Les sauvegardes dans le cloud des phrases mnémoniques les exposent à des piratages de compte, en particulier lorsqu'elles sont liées à des mots de passe faibles ou à des informations d'identification réutilisées.

3. La saisie de phrases de départ dans des outils basés sur un navigateur, même ceux revendiquant le « mode hors ligne », peut entraîner une fuite de données via l'exécution de JavaScript ou des vidages de mémoire.

4. L'utilisation de listes de mots non conformes au BIP-39 introduit des défauts d'entropie qui réduisent l'espace clé efficace et accélèrent les attaques par dictionnaire.

5. Le partage de phrases partielles à des fins de « vérification » compromet les garanties cryptographiques, car même 12 mots sur 24 peuvent suffire à la reconstruction dans certaines implémentations.

Risques d’échange ou d’auto-conservation

1. Les bourses centralisées détiennent les fonds des utilisateurs dans des portefeuilles chauds et froids regroupés, ce qui en fait des cibles de grande valeur pour les cyber-intrusions coordonnées.

2. Les vulnérabilités des contrats intelligents dans les ponts de jetons ont entraîné des pertes en cascade sur plusieurs portefeuilles d'auto-conservation détenant des actifs pontés.

3. Les exploits liés à la malléabilité des transactions permettent aux attaquants de manipuler des structures de transactions non signées avant leur diffusion, drainant potentiellement les fonds d'interactions dApp mal validées.

4. Les robots de pointe surveillent les pools de mémoire pour détecter les transactions en attente initiées par le portefeuille, exécutant les transactions concurrentes à l'avance pour en extraire de la valeur.

5. Les sessions WalletConnect avec des dApps compromises permettent des demandes de signature pour des appels de contrat arbitraires, y compris des transferts vers des adresses contrôlées par des attaquants.

Foire aux questions

Q : Un logiciel antivirus peut-il protéger entièrement un portefeuille cryptographique ? Les outils antivirus détectent les signatures de logiciels malveillants connus, mais ne peuvent pas empêcher les exploits du jour zéro ou les tromperies d'ingénierie sociale ciblant directement les utilisateurs de portefeuilles.

Q : Est-il sûr de stocker des phrases de départ dans des gestionnaires de mots de passe ? Le stockage de phrases de départ dans des gestionnaires de mots de passe introduit un risque de point de défaillance unique : si le mot de passe principal est compromis, tous les portefeuilles associés deviennent vulnérables.

Q : Les portefeuilles matériels éliminent-ils tous les risques de piratage ? Les portefeuilles matériels atténuent les surfaces d'attaque à distance, mais restent sensibles à la falsification de la chaîne d'approvisionnement, à l'analyse des canaux physiques secondaires et aux erreurs des utilisateurs lors de la configuration ou de l'utilisation.

Q : Les explorateurs de blockchain peuvent-ils révéler les détails de propriété du portefeuille ? Les explorateurs de blockchain affichent publiquement l’historique et les soldes des transactions ; la liaison des adresses aux identités du monde réel se produit souvent via des fuites de données d'échange KYC ou des techniques de regroupement de comportements en chaîne.