Le service de portefeuille MyEtherWallet s’est retrouvé hier au centre de l’exploitation d’une faille de sécurité. La startup a alerté les utilisateurs qui ont utilisé son service en ayant recours au VPN Hola.
Il s’agit du deuxième problème de sécurité majeur en l’espace de 3 mois pour le portefeuille « cloud » MyEtherWallet. Ses équipes ont indiqué hier que des pirates étaient parvenus à détourner le service de VPN gratuit Hola pendant une durée de 5 heures, et auraient potentiellement pu suivre l’activité des internautes qui auraient utilisé l’un de leurs portefeuilles avec MyEtherWallet pendant cette fenêtre de temps.
We received a report that suggest Hola chrome extension was hacked for approximately 5 hrs and the attack was logging your activity on MEW.
— MyEtherWallet.com (@myetherwallet) 10 juillet 2018
Elle les a donc invités à transférer leurs fonds vers de nouveaux portefeuilles – si tant est qu’ils puissent toujours accéder à leurs tokens.
Urgent ! If you have Hola chrome extension installed and used MEW within the last 24 hrs, please transfer your funds immediately to a brand new account !
— MyEtherWallet.com (@myetherwallet) 10 juillet 2018
Urgent ! Si vous avez installé l’extension Hola chrome et utilisé MEW au cours des dernières 24 heures, merci de bien vouloir transférer immédiatement vos fonds vers un nouveau compte !
Lors de la rédaction de cet article, il était impossible de connaître le nombre exact de victimes.
Si c’est gratuit…
En 2015, Hola avait défrayé la chronique en reconaissant utiliser la bande passante de ses utilisateurs pour mettre sur pied un « botnet » géant, régulièrement loué à des entreprises.
Les équipes de MyEtherWallet ont indiqué à TechCrunch que l’attaque survenue hier « semblait émaner d’une adresse IP basée en Russie », avant d’insister sur le fait que leur logiciel n’enregistrait pas la moindre donnée personnelle de ses utilisateurs.
En avril dernier, MyEtherWallet avait été victime d’un détournement de DNS qui redirigeait les internautes vers un site « clone » pour tenter d’obtenir leurs clés privés. Le pirate à l’origine de cette attaque était alors parvenu à dérober environ 215 ETHs (soit approximativement 125 000 euros lors de l’attaque).
Notez qu’il est recommandé d’utiliser MyEtherWallet dans une fenêtre de navigation privée, en s’assurant au préalable que l’ensemble des extensions soient désactivées.
Should just not use extensions.. whenever using MeW always run in incognito mode and disable all extensions for incognito mode..
— Vishwas Rathi ? (@iamvishwasrathi) 10 juillet 2018
Référence : CCN