Wi-Fi public : Une simple validation suffit à vider un portefeuille crypto

Un utilisateur de cryptomonnaies connu sous le pseudonyme « The Smart Ape » a perdu environ 5 000 $ depuis un portefeuille chaud lors d’un court séjour à l’hôtel. Aucun lien de phishing n’a été ouvert et aucun site frauduleux n’a été visité. En revanche, une succession de petites négligences a créé les conditions d’un drain différé du portefeuille. Selon des chercheurs en sécurité, ce cas illustre comment des actions ordinaires, en ligne comme hors ligne, peuvent s’additionner et entraîner une perte significative.

Le WiFi ouvert et les conversations publiques exposent les utilisateurs de crypto aux attaques

Durant son voyage, l’utilisateur a connecté son ordinateur portable au réseau WiFi ouvert de l’hôtel et poursuivi ses activités crypto habituelles. Il a passé du temps sur Discord, consulté X et vérifié les soldes de ses portefeuilles. Rien ne paraissait anormal. Ce qui restait invisible, en revanche, c’est que les réseaux ouverts placent tous les utilisateurs connectés dans un environnement local partagé, où le trafic peut être observé ou manipulé.

Une analyse menée par la société de sécurité blockchain Hacken a montré que des attaquants peuvent exploiter ce type de réseau sans jamais interagir directement avec le logiciel du portefeuille.

Dmytro Yasmanovych, responsable de la conformité en cybersécurité chez Hacken, explique que le WiFi ouvert facilite des attaques telles que l’usurpation ARP, la manipulation DNS ou l’utilisation de points d’accès malveillants. Ces techniques permettent notamment d’injecter du JavaScript malveillant dans des sites pourtant légitimes. Même des interfaces DeFi réputées fiables peuvent devenir dangereuses lorsque leur environnement d’exécution est compromis.

L’exposition s’est accrue plus tard dans le hall de l’hôtel. Lors d’un appel téléphonique, l’utilisateur a évoqué ouvertement ses avoirs en cryptomonnaies. Cette discussion a fourni des indices précieux à toute personne se trouvant à proximité. Une fois la cible identifiée comme active dans la crypto, il est devenu plus simple pour les attaquants d’anticiper la configuration probable du portefeuille. Une combinaison courante, Phantom utilisé sur le réseau Solana, s’est rapidement imposée. Le fournisseur du portefeuille, quant à lui, n’a jamais été compromis.

La vigilance physique demeure un point faible chez de nombreux utilisateurs de crypto. Le développeur Bitcoin et défenseur de la sécurité Jameson Lopp alerte depuis longtemps sur le fait que parler de ses avoirs dans des lieux publics attire une attention susceptible de déboucher sur des attaques ciblées.

Yasmanovych précise que de nombreuses cyberattaques commencent par de simples phases d’observation plutôt que par un piratage technique direct. Les discussions publiques sur la crypto peuvent fournir suffisamment d’informations pour permettre aux attaquants de choisir le bon moment, les bons outils et la méthode d’approche la plus efficace.

Un portefeuille vidé après que l’utilisateur ait signé une autorisation sur un réseau non sécurisé

Le moment clé est survenu lors d’un échange de tokens via une interface DeFi légitime. Une demande du portefeuille est apparue et semblait familière. Au lieu de solliciter un transfert immédiat, l’invite demandait une approbation de permission, accordant un accès durable plutôt qu’un déplacement instantané des fonds.

Ce schéma correspond à un type d’attaque de plus en plus fréquent, connu sous le nom d’abus d’approbation. Les attaquants ne cherchent pas nécessairement à voler les actifs immédiatement. Ils collectent d’abord des permissions, puis les exploitent ultérieurement, lorsque les victimes ont moins de chances de relier l’opération à l’action initiale.

Plusieurs facteurs se sont combinés pour rendre l’attaque possible :

• Connexion à un réseau WiFi ouvert et non sécurisé de l’hôtel.
• Partage du réseau local avec des utilisateurs inconnus.
• Discussions publiques sur des avoirs crypto dans un espace commun.
• Utilisation d’applications DeFi sur un appareil exposé.
• Approbation d’une demande de portefeuille sans vérification approfondie.

Les fonds n’ont été déplacés qu’après le départ de l’hôtel. Des tokens Solana ainsi que des NFT ont été transférés vers une autre adresse. Lorsque l’activité suspecte a finalement été détectée, le solde du portefeuille était déjà tombé à zéro.

Les pertes ont été limitées par le fait que le portefeuille concerné était un portefeuille chaud secondaire. Malgré cela, l’incident démontre à quel point il faut peu d’efforts pour vider un compte. Aucun malware n’a été installé, aucune interface frauduleuse n’a été utilisée et aucune phrase seed n’a été divulguée. Un réseau non sécurisé, un manque d’attention et une simple approbation ont suffi.

Les experts en sécurité recommandent de considérer tous les réseaux publics comme potentiellement hostiles. L’utilisation d’un hotspot mobile ou d’un VPN fiable permet de réduire l’exposition, en particulier lors des déplacements. Les activités de portefeuille devraient être limitées à des appareils à jour, avec un nombre minimal d’extensions de navigateur.

La répartition des fonds sur plusieurs portefeuilles peut également limiter l’ampleur des pertes, tandis que la révision régulière et la suppression des approbations inutilisées réduisent les risques à long terme. Enfin, la discipline physique reste essentielle. Il est vivement conseillé d’éviter de discuter de ses avoirs ou de la configuration de ses portefeuilles dans des lieux publics, surtout loin de son environnement habituel.