Votre seed phrase est vulnérable face à la saisie prédictive de votre smartphone
hack sécurité piratageCC
La saisie prédictive peut "deviner" votre phrase mnémonique. Attention donc aux hacks.
Les phrases mnémoniques (seed phrases) sont des combinaisons aléatoires de mots de la liste établie par le Bitcoin Improvement Protocol (BIP) 39. Elles sont la première couche de sécurité face à un accès non autorisé au wallet crypto d’un utilisateur. Mais que se passe-t-il si la saisie prédictive de votre “smart”phone permet de retrouver ces mots lorsque vous voulez accéder à votre wallet ?
La saisie prédictive peut “deviner” votre phrase mnémonique
Andre, professionnel de l’informatique de 33 ans en Allemagne, a récemment publié sur le subreddit r/CryptoCurrency après avoir découvert que son smartphone était capable de prédire l’intégralité de sa phrase mnémonique dès qu’il tapait le premier mot. Comme un avertissement aux autres redditors et amateurs de crypto, le post d’Andre mettait en avant la facilité avec laquelle un hacker pouvait utiliser cette fonctionnalité pour vider le compte d’un utilisateur simplement en ayant accès au premier mot de la liste BIP 39 : “Cela simplifie l’attaque. Mettait la main sur un téléphone, commencez une discussion et tapez les mots de la liste BIP39 et voyez ce que le téléphone suggère.”
Attention donc aux hacks
Après être parvenu à reproduire ce scenario sur plusieurs téléphones, “j’ai pensé que je devais avertir les gens. Je suis sûr qu’il y a de nombreux utilisateurs dans le monde qui ont tapé leurs phrases mnémoniques sur leur téléphone.” Les différentes expérimentations d’Andre confirment que le clavier Google GBoard reste le moins vulnérable, le logiciel ne suggérait pas tous les mots dans le bon ordre. Le clavier Microsoft Swiftkey, par contre, prédit la seed phrase presque instantanément. Le clavier Samsung aussi, si les options “remplacement automatique” et “corrections de texte suggéré” sont activées.
Une mesure de sécurité contre ce hack, toujours selon Andre, serait de stocker ces principaux actifs sur un wallet physique. De plus, “empêchez que ce genre de mésaventure ne vous arrive en nettoyant le cache de la saisie prédictive.”