Une extension de navigateur annoncée comme un portefeuille Ethereum est restée accessible sur le Web Store bien que les Chrome chercheurs l’aient identifiée comme un outil conçu pour voler de la crypto-monnaie. L’extension, appelée Safery, est apparue dans les résultats de recherche pour les outils de portefeuille et s’est présentée comme une option légitime pour les utilisateurs cherchant à gérer des actifs numériques. Les analystes de la sécurité ont constaté que Safery était disponible depuis plus d’un an et était capable de collecter des informations sensibles auprès des utilisateurs qui l’avaient installé.
Les chercheurs ont rapporté que l’extension demandait l’accès aux phrases de récupération du portefeuille, qui sont les principaux codes de récupération des comptes de crypto-monnaie. Une fois qu’un utilisateur a saisi la phrase, l’extension a transmis les informations sous forme codée par le biais de transactions sur la blockchain Sui. Les données ont été intégrées dans des adresses de transfert spécifiques liées au portefeuille de l’attaquant. En reconstruisant la phrase de départ de ces transactions, l’opérateur a pris le contrôle total des comptes cryptographiques de la victime et a pu retirer des fonds sans être détecté jusqu’à ce que le titulaire du compte remarque l’activité.
La présence continue de l’extension sur le Chrome Web Store a soulevé des questions sur l’efficacité de la surveillance du marché. Les utilisateurs supposent souvent qu’une extension répertoriée sur une plateforme officielle a fait l’objet d’un examen adéquat. Dans ce cas, Safery a maintenu une position parmi les premiers résultats pour les recherches de portefeuille Ethereum, augmentant la probabilité que les utilisateurs l’installent sans vérifier son arrière-plan. Bien que l’inscription ait été signalée publiquement, Safery restait accessible au téléchargement au moment des conclusions des chercheurs.
Risques pour les utilisateurs de cryptomonnaies et mesures visant à réduire l’exposition
Les phrases de récupération représentent un accès complet à un portefeuille de crypto-monnaies. Lorsque ces informations sont compromises, les attaquants peuvent transférer des actifs vers des comptes externes sans trop de résistance. La méthode de Safery consistant à dissimuler les données volées dans les transactions blockchain rendait l’activité difficile à détecter, même pour les utilisateurs expérimentés. Cette approche contournait les avertissements de sécurité courants, car elle ne reposait pas sur des logiciels malveillants visibles ou une transmission directe sur le réseau. L’extension semblait fonctionnelle en surface, ce qui aidait à dissimuler son objectif.
De tels incidents mettent en évidence les risques associés aux extensions de navigateur, en particulier celles qui gèrent des outils financiers ou des clés privées. Les utilisateurs comptent sur ces extensions pour plus de commodité, mais peuvent ne pas tenir compte de l’accès qu’elles fournissent aux informations sensibles. Une extension malveillante autorisée à afficher ou à modifier les données du portefeuille constitue une menace importante. Même un petit nombre d’installations peut entraîner des pertes substantielles si les utilisateurs stockent des avoirs importants ou gèrent plusieurs comptes via la plateforme compromise.
La protection des comptes de crypto-monnaie nécessite un contrôle minutieux des informations du portefeuille et de l’environnement du navigateur. Les utilisateurs doivent vérifier le développeur d’une extension et vérifier si elle dispose d’un historique transparent, d’un enregistrement de mise à jour cohérent ou d’un engagement visible de la part de clients réels. Les extensions contenant peu d’informations sur l’éditeur ou celles qui sont récemment apparues dans les classements de recherche doivent être traitées avec prudence. Les avis peuvent offrir des indices, mais ils ne sont pas toujours fiables car ils peuvent être fabriqués.
Les utilisateurs doivent également surveiller les autorisations demandées par une extension. Si un outil de portefeuille demande un accès large aux données du navigateur ou des autorisations sans rapport avec ses fonctions principales, cela peut indiquer un comportement suspect. Les paramètres du navigateur doivent être vérifiés régulièrement pour supprimer les extensions inutilisées et limiter l’exposition. La création d’un profil de navigateur distinct pour l’activité cryptographique peut réduire les risques en isolant les outils financiers de la navigation générale.
Pour les utilisateurs qui stockent des actifs numériques substantiels, les portefeuilles matériels offrent une plus grande sécurité. Les périphériques matériels empêchent l’exposition des phrases de démarrage dans une fenêtre de navigateur ou une interface d’extension. Ils stockent la phrase de récupération hors ligne, ce qui réduit le risque posé par les logiciels malveillants. Les outils basés sur un navigateur peuvent toujours être utilisés pour de petites transactions ou des tests, mais les informations sensibles ne doivent pas être saisies dans les extensions à partir de sources inconnues.
Les places de marché qui distribuent des extensions de navigateur sont confrontées à des défis permanents pour identifier et supprimer les listes malveillantes. L’affaire Safery montre à quel point une extension nuisible peut facilement rester en ligne et attirer des utilisateurs grâce aux résultats de recherche. Jusqu’à ce que les processus d’examen automatisés et manuels s’améliorent, les utilisateurs ne peuvent pas supposer qu’une annonce est sûre uniquement parce qu’elle apparaît dans une boutique officielle. Une approche prudente, combinée à un suivi régulier des comptes, reste essentielle pour toute personne gérant des actifs numériques.