Un simple réseau WiFi public peut suffire à compromettre un portefeuille crypto. C’est la leçon brutale tirée d’un incident analysé par la société de cybersécurité Hacken pour Cointelegraph, dans lequel un utilisateur a perdu environ 5 000 dollars en actifs numériques après un séjour dans un hôtel. Ni phishing classique, ni piratage direct du wallet : l’attaque s’est appuyée sur une combinaison de failles réseau, de signaux sociaux et d’une autorisation onchain accordée sans méfiance.
Les détails de l’attaque
Un utilisateur de cryptomonnaies, connu sous le pseudonyme The Smart Ape, a expliqué avoir perdu près de 5 000 dollars après un séjour de trois jours dans un hôtel. Contrairement aux scénarios classiques de phishing, il affirme ne pas avoir cliqué sur de lien frauduleux.
Selon son témoignage, il s’était simplement connecté au WiFi ouvert de l’établissement, via un portail captif sans mot de passe, et travaillait comme à son habitude.
« Je travaillais normalement, je consultais Discord et X, et je vérifiais mes soldes. »
Ce type de réseau implique que l’ensemble des utilisateurs partagent le même environnement local. D’après Dmytro Yasmanovych, responsable de la conformité cybersécurité chez Hacken, « les attaquants peuvent exploiter le spoofing ARP, la manipulation DNS ou des points d’accès malveillants pour injecter du JavaScript dans des sites pourtant légitimes. Même si l’interface DeFi est fiable, le contexte d’exécution peut ne plus l’être. »
L’attaque ne s’est pas limitée à un volet technique. L’assaillant aurait également identifié la victime comme détenteur de cryptomonnaies après l’avoir entendue parler de ses avoirs lors d’un appel téléphonique dans le hall de l’hôtel. Cette information a permis de cibler plus précisément son profil et son environnement, notamment l’usage du wallet Phantom sur Solana, sans que le fournisseur du wallet ne soit compromis.
Le moment décisif intervient lorsque l’utilisateur signe ce qu’il pense être une transaction classique sur une interface DeFi légitime. En réalité, un code injecté modifie la requête et lui fait approuver une autorisation permanente plutôt qu’un simple transfert de tokens.
Yasmanovych explique que « l’attaquant n’a pas besoin de voler les clés ni de vider le wallet immédiatement. Il obtient des permissions persistantes, puis attend parfois plusieurs jours ou semaines avant d’exécuter le transfert ».
Une fois la victime partie de l’hôtel, l’attaquant a procédé au transfert des fonds. « Il a transféré mon SOL, déplacé mes tokens et envoyé mes NFT vers une autre adresse », a-t-elle indiqué. Le wallet, qui servait de portefeuille secondaire, a été vidé de ses Solana et d’autres actifs pour un montant total estimé à 5 000 dollars.
Une menace qui dépasse le simple phishing
Cette affaire illustre une évolution des méthodes utilisées contre les détenteurs de cryptomonnaies. L’attaque ne repose ni sur un faux site ni sur une escroquerie classique par email, mais sur une combinaison de facteurs techniques et humains.
Comme le souligne Yasmanovych, « les cyberattaques ne commencent pas au clavier. Elles commencent souvent par l’observation ».
Le fait de parler de ses avoirs crypto en public peut servir de reconnaissance pour des attaquants, qui adaptent ensuite leurs outils en fonction du profil de la cible. Le développeur Bitcoin et expert en sécurité Jameson Lopp met en garde depuis des années contre ce type d’exposition physique, qu’il considère comme l’un des comportements les plus risqués pour les détenteurs de cryptos.
Sur le plan technique, l’abus d’autorisations onchain devient une méthode de plus en plus répandue. Plutôt que de voler immédiatement les fonds, l’attaquant obtient une autorisation durable, souvent invisible pour l’utilisateur, puis agit à distance, parfois plusieurs jours après la signature initiale.
Face à ces risques, Hacken recommande de considérer tous les réseaux publics comme hostiles, en particulier lors des déplacements. L’entreprise conseille d’éviter toute interaction avec un wallet via un WiFi ouvert, de privilégier un partage de connexion mobile ou un VPN réputé, et d’utiliser des appareils à jour avec une surface d’attaque réduite.
Les utilisateurs sont également encouragés à segmenter leurs fonds sur plusieurs wallets, à vérifier et révoquer régulièrement les autorisations onchain, et à éviter toute discussion publique sur leurs avoirs ou leurs outils crypto.
L’incident montre qu’un seul moment d’inattention, combiné à un environnement non sécurisé, peut suffire à compromettre un portefeuille. La sécurité crypto ne se limite pas aux smart contracts ou aux clés privées. Elle dépend aussi du contexte physique, du réseau utilisé et des comportements quotidiens.
