08/03/2021 | Blog
L'article suivant résume le blog technique récemment publié par le Grand livre Donjon équipe. Vous pouvez cliquer ici lire le
Les logiciels conçus pour pirater nos appareils personnels sont de plus en plus sophistiqués. Le Scandale des logiciels espions Pegasus souligne la menace que ce logiciel représente pour notre technologie et nos informations.
Les logiciels espions ont également attiré l’attention du secteur de la cryptographie, car un nombre croissant d’utilisateurs et d’investisseurs s’appuient sur des portefeuilles logiciels exécutés sur des ordinateurs et des smartphones dangereux. Web3 les actifs numériques, tels que Bitcoin ou Ethereum, ne doivent pas être stockés sur des appareils Web2 (ordinateurs portables et smartphones). Cet article explique pourquoi.
Les logiciels espions « zéro jour » et « zéro clic » prolifèrent
En 2020, des journalistes d’investigation ont révélé que des dizaines de milliers de citoyens, de militants et de dirigeants politiques avaient été ciblés par les clients du fabricant de logiciels espions NSO Group. Récemment, le logiciel espion est devenu un véritable scandale diplomatique avec la révélation que 14 chefs d’État et de gouvernement étaient d’anciennes cibles, dont le président Macron de France et le roi Mohammed V du Maroc. Le logiciel espion fournissait un accès complet à leurs smartphones.
Comment ce logiciel espion est-il devenu un outil de surveillance aussi insidieux ? Simplement parce que d'un mélange de fonctionnalités « jour zéro » et « zéro clic ». Mais qu’est-ce que cela signifie exactement ?
Une attaque « jour zéro » se produit lorsque des pirates informatiques exploitent une vulnérabilité dans une application ou un appareil inconnu du fournisseur du logiciel cible. Dans le cas du logiciel espion Pegasus, les points d’entrée sont les applications de messagerie (iMessage, WhatsApp, SMS…).
D’un autre côté, une attaque « zéro clic » exploite les vulnérabilités sans obliger la cible à cliquer n’importe où. Ces vulnérabilités donnaient à l’attaquant un accès quasi complet aux appareils ciblés et à leurs données : caméra, microphone, géolocalisation, images, conversations, etc.
Une « attaque zéro jour zéro clic » est une combinaison des deux ci-dessus. Inquiet, pourtant ?
Ces attaques nuisent également à vos actifs numériques
Malheureusement, "zero-day" et "Zero-clic« Les attaques ne se limitent pas aux logiciels espions Pegasus. Si vous pensiez que vos portefeuilles logiciels étaient intrinsèquement sécurisés, détrompez-vous. Les vidéos suivantes montrent avec quelle facilité notre équipe Ledger Donjon a pu pirater des smartphones et accéder aux phrases de départ de MétaMask, Coinbaseet Blockchain.com portefeuilles logiciels.
La vidéo suivante simule un malware qui vole le mot de passe utilisateur saisi par la victime. Il est ensuite utilisé pour décrypter les données du portefeuille Electrum et pour afficher la graine.
La vidéo suivante met en évidence un malware déguisé en faux widget Bitcoin ticker. Les logiciels malveillants exploitent une vulnérabilité de l'appareil pour exfiltrer la graine chiffrée vers un serveur distant. Le serveur force ensuite le mot de passe pour déchiffrer la graine :
La vidéo suivante montre un processus équivalent avec un portefeuille Coinbase :
Cette dernière vidéo montre un logiciel espion ciblant un portefeuille Blockchain.com. Une fois que l'utilisateur s'est authentifié à l'aide de l'empreinte digitale de la victime, la clé de cryptage est déverrouillée et les données du portefeuille sont déchiffrées :
Dans l’ensemble, le processus est en réalité assez simple. Le pirate informatique vous envoie un message sans que vous en soyez averti. Le message exploite une vulnérabilité permettant aux attaquants d’espionner votre application et d’exfiltrer votre phrase de départ via Internet. Le pirate informatique renvoie ensuite la graine sur son propre ordinateur. Aucun clic n’est nécessaire et c’est pour le moins un exploit malveillant.
Quant à votre crypto ? Disparu.
La leçon est claire : ne placez pas vos actifs numériques Web3 sur des appareils Web2 comme les ordinateurs portables et les smartphones ! Ils ne sont pas sécurisés par conception, ce qui signifie qu'ils fonctionnent sur des logiciels (iOS ou Android) qui ne vous permettent pas de laisser vos affaires dans une enclave sûre..
Pourquoi la sécurité de la cryptographie doit être basée sur le matériel ?
L'univers de la cryptographie regorge de trésors, mais l'aventure doit TOUJOURS être sécurisée. Voici pourquoi nos portefeuilles matériels, Ledger Nano S et Nano X, sont les solutions de stockage les plus sécurisées pour vos actifs numériques :
- Premièrement, ils vous protègent contre les logiciels malveillants, dès leur conception. Nos portefeuilles matériels sont des appareils indépendants qui signent eux-mêmes les transactions. Les éléments cryptographiques des clés privées restent toujours à l’intérieur de l’appareil. Ils ne sont jamais envoyés vers l'application avec laquelle ils communiquent. Par conséquent, vos clés sont conservées hors ligne, là où les logiciels malveillants ne peuvent pas y accéder.
- Deuxièmement, nos appareils embarquent un écran vous permettant de vérifier vos actions lorsque vous interagissez avec vos clés secrètes. Lorsque vous effectuez des transactions sur un téléphone mobile ou un ordinateur de bureau, des logiciels malveillants peuvent accéder à vos informations ou même échanger/modifier vos adresses. Nos authentifications sur appareil sont des contre-mesures très efficaces.
Les clés hors ligne et les authentifications sur appareil sont des outils essentiels pour sécuriser pleinement les actifs numériques sur les appareils matériels.
Conclusion:
À mesure que les crypto-monnaies deviennent plus courantes, les attaques contre les portefeuilles deviendront malheureusement de plus en plus sophistiquées. Chez Ledger, notre objectif est de vous offrir l'expérience la plus sécurisée lors de la gestion de vos actifs numériques.
Source : https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe
- &
- 2020
- accès
- Aventure
- Permettre
- android
- appli
- Candidature
- applications
- article
- Outils
- Attaques
- Bitcoin
- blockchain
- Blog
- Blogue
- CLIENTS
- coinbase
- Commun
- ordinateurs
- contenu
- conversations
- Crypto
- Crypto Industry
- cryptocurrencies
- données
- Décrypter
- Conception
- Compatibles
- DID
- numérique
- Actifs numériques
- Electrum
- chiffrement
- etc
- Ethereum
- Découvrez
- Exploiter
- faux
- Fonctionnalités:
- France
- plein
- Gouvernements
- Réservation de groupe
- entaille
- pirate
- les pirates
- Matériel
- Portefeuilles de quincaillerie
- Comment
- HTTPS
- Y compris
- industrie
- d'information
- Internet
- Investisseurs
- iOS
- IT
- clés / KEY :
- clés
- King
- ordinateurs portables
- Ledger
- limité
- fabricant
- malware
- matières premières.
- messagerie
- applications de messagerie
- Breeze Mobile
- téléphone mobile
- Maroc
- nano
- Groupe NSO
- ouvre
- Autre
- Mot de Passe
- les expressions clés
- joueur
- Poteaux
- président
- Privé
- Clés privées
- Programmes
- protéger
- Courir
- pour le running
- des
- Sécurité
- pour écran
- seed
- étapes
- smartphones
- Logiciels
- Solutions
- États
- rester
- storage
- surveillance
- Target
- Technique
- Technologie
- Transactions
- utilisateurs
- Vidéo
- Vidéos
- vulnérabilités
- vulnérabilité
- Wallet
- Portefeuilles
- Web3
- X
- Youtube
