Une mise à jour vérolée de l’extension Trust Wallet a conduit au détournement de fonds de milliers d’utilisateurs et d’utilisatrices. L’incident a ensuite été exploité pour piéger d’autres victimes.
À la veille de Noël, les utilisateurs et utilisatrices de Trust Wallet ne s’attendaient sans doute pas à ce genre de (mauvaise) surprise. La mise à jour de son extension pour Chrome, publiée le 24 décembre dernier, n’avait finalement de légitime que le nom et le badge de certification. Des hackers sont en effet parvenus à exploiter le processus de publication du Chrome Web Store pour en faire circuler une version officielle, mais compromise, à l’origine d’un braquage de grande ampleur. Trust Wallet a depuis confirmé le carnage et engagé des mesures pour en limiter les conséquences.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une mise à jour détournée pour siphonner des milliers de portefeuilles
Dans le détail, l’incident remonte à la mise en ligne de la version 2.68 de l’extension Chrome de Trust Wallet. Présentée comme une mise à jour classique, elle embarquait en réalité un script JavaScript malveillant chargé d’exfiltrer des données sensibles liées aux crypto wallets hébergés par le service. Une fois ces informations récupérées, les attaquants ont pu vider directement les portefeuilles concernés.
Selon Trust Wallet, cette version n’est pas passée par son circuit de publication interne standard. Les premiers éléments de l’enquête pointent vers l’exploitation frauduleuse d’une clé API du Chrome Web Store, utilisée pour soumettre la mise à jour en contournant les dispositifs de contrôle habituels. L’extension malveillante a ainsi été validée et diffusée comme une version officielle, au nez et à la barbe de l’éditeur, de Google… et des internautes.
Le bilan est lourd. Trust Wallet affirme avoir identifié 2 596 adresses compromises, pour un préjudice total estimé à environ 7 millions de dollars. Dans la foulée, une mise à jour corrective a été déployée et les mécanismes de publication ont été gelés temporairement. L’entreprise a ainsi désactivé l’ensemble de ses API de publication afin d’empêcher tout nouveau déploiement malveillant pendant les deux semaines à venir, et a fait suspendre le domaine utilisé pour l’exfiltration des données afin de couper l’accès aux informations restantes.
Profitant de la panique déclenchée par le piratage, les cybercriminels ont également lancé une campagne de phishing secondaire repérée par BleepingComputer, reposant sur un faux site reprenant l’identité visuelle de Trust Wallet et incitant les victimes à saisir leur phrase de récupération sous couvert d’une prétendue mise à jour de sécurité. Ou comment faire d’une pierre deux coups.
Procédure de remboursement et pièges à éviter
Trust Wallet a annoncé le remboursement des victimes identifiées et la mise en place d’une procédure dédiée, invitant les personnes concernées à remplir un formulaire pour le traitement de leur dossier, tout en alertant sur la recrudescence de faux supports et de formulaires de compensation frauduleux cherchant à capter des informations sensibles.
Côté utilisateurs et utilisatrices, priorité doit être donnée à l’extension installée. Vérifiez-en le numéro de version et installez la mise à jour 2.69 depuis le Chrome Web Store, sans attendre.
Gardez aussi en tête qu’aucune démarche légitime, qu’il s’agisse d’une mise à jour, d’un remboursement ou d’un échange avec le support, n’implique de transmettre votre seed phrase, vos clés privées ou votre mot de passe. Toute demande en ce sens doit être considérée comme frauduleuse.
Soyez également très vigilants vis-à-vis des messages reçus après l’incident. Contrôlez l’adresse du site, le nom de domaine, l’expéditeur, et ne renseignez vos informations que sur les pages officielles de Trust Wallet, jamais en suivant un lien reçu dans un mail.
Enfin, de manière générale, et pour anticiper les prochaines fois, parce qu’il y en aura, segmentez vos portefeuilles selon vos usages et privilégiez un crypto wallet matériel pour le stockage à long terme, de manière à limiter l’exposition des fonds et à contenir l’impact en cas de compromission.
Sources : Trust Wallet via X.com, BleepingComputer
