Le vol de clés privées n'est plus seulement un moyen parmi d'autres utilisé par les pirates informatiques pour attaquer les utilisateurs de cryptomonnaies. Il est devenu une activité à part entière, selon GK8, une société experte en conservation de crypto appartenant à Galaxy Digital, la plateforme d'investissement crypto de Mike Novogratz.
Dans un rapport publié lundi, GK8 détaille l’évolution de cette menace, passée au stade industriel. Le document met en lumière l’émergence d’outils underground capables de localiser puis dérober la seed phrase d’un utilisateur.
L’étude mentionne plusieurs outils — comme des malware infostealers ou des seed phrase finders — capables de scanner des fichiers, documents, sauvegardes cloud ou historiques de conversation pour extraire rapidement la clé privée d’un utilisateur. Une fois celle-ci récupérée, les attaquants obtiennent le contrôle total de ses actifs.
« Pour l’industrie crypto, adopter une conservation sécurisée, mettre en place des processus d’approbation en plusieurs étapes et séparer les rôles sont essentiels pour réduire le risque lié à cette menace commerciale en évolution permanente », souligne le rapport.
Tout commence avec un malware
Selon GK8, le vol de clés privées repose sur un processus en plusieurs phases. En général, tout commence par un malware qui siphonne une grande quantité de données depuis l’appareil infecté.
Les cybercriminels injectent ensuite ces données volées dans des outils automatisés capables de reconstruire des seed phrases et des clés privées. Après avoir identifié les portefeuilles contenant des actifs de valeur, ils évaluent les mesures de sécurité avant de vider les fonds.
« Ces applications réalisent une analyse mnémotechnique extrêmement précise, convertissant des journaux bruts en clés. Elles se vendent plusieurs centaines de dollars sur les forums du darknet », révèle GK8.
Les malware infostealers — des logiciels conçus pour récolter discrètement les données stockées sur un appareil — sont en forte progression ces dernières années. Et les utilisateurs macOS ne sont pas épargnés, avertit la société de renseignement cybercriminel Kela.
« Longtemps considérés comme relativement sûrs grâce aux protections natives d’Apple, les appareils macOS restent pourtant des cibles pour les cybercriminels », note Kela dans un rapport publié le 10 novembre. L’entreprise ajoute que l’activité des infostealers sur macOS « semble atteindre un pic en 2025 ».
Comment les utilisateurs peuvent se protéger
Dans ce contexte d’explosion des vols de clés privées, les utilisateurs doivent partir du principe que toutes les données stockées localement peuvent être compromises. GK8 recommande de ne jamais stocker sa seed phrase en version numérique, d’utiliser une validation multipartite pour les transactions et de s’appuyer sur des systèmes de custody sécurisés.
« Une combinaison réfléchie de stockage hot, cold et en coffre-fort impénétrable est nécessaire pour limiter la valeur des actifs exposés à un drain immédiat », estime l’entreprise.
Kela rappelle que les infostealers reposent souvent sur l’ingénierie sociale : faux installateurs, publicités piégées, campagnes de phishing… autant de techniques destinées à tromper les utilisateurs.
« Pour rester en sécurité, les utilisateurs doivent se montrer extrêmement prudents avec les pièces jointes et les liens, éviter les logiciels provenant de sources non fiables et se méfier des arnaques exploitant la réputation de sécurité de macOS », prévient Kela.
L’entreprise insiste également sur l’importance de mots de passe forts et uniques pour les applications financières, de l’activation de l’authentification multifactorielle, ainsi que de la mise à jour régulière de macOS et de toutes les applications afin d’éviter que des malware ne volent des données sensibles.