La société de portefeuilles Crypto Dfns déclare que les « liens magiques » présentent une vulnérabilité critique

Certains liens magiques – une méthode de connexion sans mot de passe adoptée par un nombre croissant de portefeuilles Crypto et d'applications Web – présentent une vulnérabilité critique, selon la startup de portefeuilles Crypto Dfns.

Dfns propose des services de portefeuilleet est soutenu par des sociétés telles que White Star Capital, Hashed, Susquehanna, Coinbase Ventures et ABN AMRO.

Un LINK magique est une URL unique à usage unique générée par un site Web ou une application pour authentifier un utilisateur sans lui demander de saisir un mot de passe. Lorsqu'un utilisateur clique sur un LINK magique qui lui est envoyé par une application Web, celle-ci vérifie son identité et le connecte à son compte.

Initialement lancés par Slack et d'autres applications Web2 populaires, les liens magiques sont devenus une méthode de connexion de plus en plus courante pour les portefeuilles Crypto . Au lieu d'obliger les utilisateurs à mémoriser une clé complexe ou une phrase de départ, les liens magiques sont présentés comme un moyen plus rapide, plus simple et plus sûr de se connecter.

Mais Dfns affirme que les liens magiques – qui peuvent être mis en œuvre différemment d’une application à l’autre – sont souvent beaucoup moins sécurisés que les méthodes de connexion plus traditionnelles.

Dfns catégorise la vulnérabilité qu'il a découverte commeun exploit « zero day » – si grave qu’elle rend les liens magiques toxiques pour les développeurs. Étant donné l’omniprésence des liens magiques au-delà des portefeuilles Crypto (ils sont utilisés par certains gestionnaires de mots de passe populaires, par exemple), Dfns a déclaré dans un communiqué que la vulnérabilité pourrait « représenter un risque considérable pour une partie substantielle de l’économie mondiale ».

Les services touchés par la vulnérabilité ont toutefois considérablement minimisé le risque qu'elle représentait pour CoinDesk, la qualifiant de type de vulnérabilité plus bénigne, bien que toujours inquiétante. attaque de phishing. De plus, plusieurs portefeuilles populaires se sont plaints du fait que Dfns ne leur a donné qu'un préavis de trois jours avant de se précipiter pour publier leurs conclusions,bien en deçà des normes communément acceptées en matière de Déclaration de transparence des vulnérabilités. Ils ont ajouté, en outre, que Dfns a tout intérêt à dénigrer les services de portefeuille sans mot de passe ; le modèle commercial de Dfns consiste à protéger les mots de passe Crypto de ses clients.

Bien que tout le monde ne soit pas d'accord avec la caractérisation de la gravité des conclusions du Dfns, les personnes qui ont parlé à CoinDesk ont ​​noté que les résultats mettent en évidence la manière dont certaines sociétés de Cryptomonnaie obsédées par la croissance ont privilégié la commodité à la sécurité dans le but d'attirer les utilisateurs.

« Au début des années 2000, les noms d’utilisateur et les mots de passe étaient constamment compromis. Mais aujourd’hui, nous disposons d’une authentification à deux facteurs, d’OTP (mots de passe à usage unique) » et d’autres méthodes de connexion plus sécurisées, a déclaré à CoinDesk Zhen Yu Yong, PDG de Web3Auth. (Web3Auth propose un service de connexion sans mot de passe qui était vulnérable à l’exploit découvert par Dfns.) L’industrie de la Crypto « utilise encore largement des phrases de départ à facteur unique – l’authentification à facteur unique ».

Détournement de liens magiques

Lors d'une démonstration sur Zoom, le Dr Samer Fayssal, directeur de la sécurité des informations (CISO) du Dfns, a montré comment un pirate informatique peut détourner les services populaires de portefeuille Crypto « Magic LINK » en utilisant simplement l'adresse e-mail d'un utilisateur.

En utilisant un portefeuille de gravure CoinDesk flambant neuf comme mannequin de test, Faysall a démontré comment un pirate pouvait envoyer un LINK magique qui semblait (et était, dans un sens) authentique. Le LINK provenait de l'adresse e-mail réelle du service de portefeuille et en cliquant dessus, on se connectait au portefeuille de gravure CoinDesk .

Mais lorsque Fayssal a partagé son écran, il a montré qu'en cliquant sur le LINK, CoinDesk lui avait par inadvertance donné un accès complet à son portefeuille.

Avec deux avocats de Dnfs en ligne (apparemment pour attester du fait que Dfns ne piratait pas réellement CoinDesk), Fayssal a accepté de répéter son attaque sur un autre service de portefeuille Crypto sans mot de passe.

Dans ses deux démonstrations, c’est Fayssal – et non CoinDesk – qui a lancé la Request de connexion qui a déclenché un e-mail contenant un LINK magique. Si un utilisateur reçoit un e-mail de connexion sans réellement essayer de se connecter à un service, il s’agit généralement d’un signal d’alarme de phishing – même si l’e-mail semble tout à fait authentique.

Fayssal n'a pas voulu expliquer comment il avait réussi ces attaques, déclarant à CoinDesk qu'il ne voulait T que ses méthodes tombent entre de mauvaises mains. Il a cependant déclaré qu'il avait personnellement contacté plus d'une douzaine d'entreprises qu'il estime vulnérables à l'exploit et qu'il leur avait proposé de les aider à mettre en place des mesures de protection.

Quant aux utilisateurs de portefeuilles à LINK magiques, « le conseil que je donnerais aux utilisateurs est de mettre en œuvre l'authentification à deux facteurs dès que possible, si possible », a déclaré Fayssal.

CoinDesk a parlé avec trois des sociétés de Crypto que Dfns a identifiées comme des utilisateurs de liens magiques. Toutes ont confirmé que les découvertes de Fayssal étaient authentiques, mais elles ont toutes déclaré que Dfns exagérait en qualifiant l'attaque de « zero day ».

Magic Labs, ONEune des sociétés utilisées par Dfns dans sa démonstration, a déclaré un jour plus tard qu'elle n'était plus vulnérable.

« Magic Labs n’est plus vulnérable à ce type de phishing et, à notre connaissance, aucun de nos utilisateurs finaux n’a été affecté », a déclaré Sean Li, PDG de Magic Labs. « Nous évaluons et améliorons constamment la sécurité de notre plateforme. »

Attaque zero day ou phishing ?

Web3Auth était l'autre service de portefeuille Crypto que Dfns a utilisé pour démontrer la vulnérabilité du LINK magique à CoinDesk. Analyses Yong de Web3Auth, la vulnérabilité du LINK magique ne peut T être qualifiée d'exploit « zero day » plus grave, car l'utilisateur doit cliquer sur un LINK magique piraté pour qu'il fonctionne.

« Nous considérons cela comme une attaque de phishing », a déclaré Yong à CoinDesk. « C'est similaire à une attaque de phishing sur MetaMask, où il y a une dapp [application décentralisée] qui envoie une transaction malveillante, l'utilisateur l'approuve, puis l'utilisateur peut envoyer ses jetons à une adresse malveillante ou quelque chose du genre. »

L'attaque par LINK magique échoue si l'utilisateur rate l'e-mail piraté, clique sur le LINK après son expiration ou trouve suspect qu'un LINK magique lui ait été envoyé alors qu'il n'avait T essayé de se connecter. (En ce qui concerne ce dernier point, Fayssal affirme qu'un attaquant pourrait programmer stratégiquement le LINK pour qu'il arrive au moment où l'utilisateur est censé se connecter au service cible.)

Yong a déclaré à CoinDesk que Web3Auth dispose de mesures de protection pour empêcher le phishing, bien qu'il ait admis que ces mesures de protection n'étaient T suffisantes pour lutter contre la vulnérabilité de Fayssal.

Il faut cependant reconnaître que Web3Auth a ajouté au bas de ses e-mails contenant des LINK magiques un texte spécifiant l'adresse IP qui a déclenché la tentative de connexion. Dans la démonstration de Fayssal, son LINK magique piraté provenait d'une adresse IP différente de celle de CoinDesk, ce qui laisse penser que le LINK était frauduleux, même si l'e-mail provenait directement de Web3Auth.

Yong a déclaré que Web3Auth mettrait en œuvre des méthodes anti-phishing supplémentaires à la lumière des recherches de Fayssal.

Sequence, une plateforme de développement web3 qui propose un portefeuille Crypto sans mot de passe, a déclaré à CoinDesk qu'elle avait mis en place des mesures de protection qui ont rendu inefficace la vulnérabilité découverte par Dfns. « Pour Sequence, je ne pense T que ce soit aussi grave du tout », a déclaré Peter Kieltyka, PDG d'Horizon, la société qui a développé Sequence. « Mais vous savez, oui, pour certains autres produits, je pense qu'ils pourraient prendre des mesures supplémentaires. »

Peter a accusé Dfns d’avoir exagéré la gravité de la vulnérabilité du LINK magique en la qualifiant de « coup marketing ».