MetaMask, le fournisseur de portefeuilles crypto appartenant à ConsenSys, a envoyé un avertissement à la communauté concernant les attaques de phishing via iCloud d’Apple.

Le problème de sécurité pour les utilisateurs d’iPhone, de Mac et d’iPad est lié aux paramètres par défaut de l’appareil, qui permettent de stocker la phrase de démarrage de l’utilisateur ou le « coffre-fort MetaMask crypté par mot de passe » sur iCloud si l’utilisateur a activé les sauvegardes automatiques pour les données de son application.

Dans un fil de discussion publié sur Twitter le 18 avril, MetaMask a fait remarquer que les utilisateurs courent le risque de perdre leurs fonds si leur mot de passe Apple « n’est pas assez complexe » et qu’un pirate parvient à usurper les informations d’identification de leur compte.

Pour résoudre ce problème, les utilisateurs peuvent désactiver les sauvegardes automatiques sur iCloud pour MetaMask, comme indiqué en détail :

MetaMask : Si vous avez activé la sauvegarde iCloud pour les données de l’application, elle inclura votre coffre-fort MetaMask crypté par mot de passe. Si votre mot de passe n’est pas assez complexe et que quelqu’un vole vos informations d’identification iCloud, cela peut se traduire par un vol de fonds. (Lire la suite) 1/3 — MetaMask (@MetaMask) 17 avril 2022

L’avertissement de MetaMask est venu en réponse aux rapports d’un collectionneur de NFT qui se fait appeler « revive_dom » sur Twitter, qui a déclaré le 15 avril que l’ensemble de son portefeuille contenant 650 000 $ d’actifs numériques et de NFT a été vidé via ce problème de sécurité spécifique.

Dans un autre fil de discussion, plus tôt dans la journée, le fondateur du projet DAPE NFT, « Serpent », qui a également contribué à attirer l’attention de MetaMask en partageant l’histoire avec ses 277 000 followers, a donné un aperçu de ce qui est arrivé à la victime.

Ils ont noté que la victime a reçu plusieurs SMS lui demandant de réinitialiser son mot de passe Apple ID, ainsi qu’un appel supposé d’Apple, qui était en fait un faux identifiant d’appelant.

Ne se doutant pas de l’identité de son interlocuteur, « revive_dom » lui a remis un code de vérification à six chiffres pour prouver qu’il était bien le propriétaire du compte Apple. Les pirates ont ensuite raccroché et ont accédé à son compte MetaMask via les données stockées sur iCloud.

Serpent : Points essentiels à retenir
- Utilisez TOUJOURS un portefeuille froid pour stocker vos objets de valeur.
- Ne donnez jamais les codes de vérification à QUICONQUE
- Protégez vos informations, ne donnez pas votre numéro de téléphone ou votre adresse e-mail personnelle.
- Les informations de la personne qui appelle sont faciles à falsifier. Les entreprises comme Apple ne vous appelleront jamais.
- Serpent (@Serpent) Le 17 avril 2022
 

Voir aussi : MetaMask élargit son offre institutionnelle en intégrant de nouveaux dépositaires de cryptomonnaies

Après que MetaMask ait publié l’avertissement aujourd’hui, « revive_dom » a exprimé ses frustrations à l’égard de la société, notant que :

« Je ne dis pas qu’ils ne devraient pas le faire, mais ils devraient nous le dire. Ne nous dites pas de ne jamais stocker notre phrase d’amorçage numériquement pour le faire ensuite dans notre dos. Si 90 % des gens le savaient, je parierais qu’aucun d’entre eux n’aurait l’application ou iCloud activé. »

Si la plupart des réactions de la communauté étaient favorables, d’autres ont rapidement souligné l’importance d’utiliser le stockage à froid et de faire preuve de beaucoup de diligence raisonnable lors du stockage d’actifs dans un hot wallet.