Myetherwallet : détournement de haut vol pour des cryptomonnaies

Le monde des cryptomonnaies est un formidable terrain de jeu pour les cybercriminels et les piratages de sites ou de sociétés opérant dans cet écosystème sont une occurrence fréquente. Mais celui ayant visé les utilisateurs du site MyEtherWallet se distingue par sa sophistication.

 

Sur le site de MyEtherWallet, une présentation vient rappeler aux utilisateurs que MyEtherWallet ne peut pas garantir la sécurité des portemonnaies. 

MyEtherWallet est un service en ligne qui propose aux utilisateurs de générer et de gérer des porte-monnaie Ethereum : ceux ci permettent aux utilisateurs de conserver et de dépenser leurs cryptoactifs. Le site présente plusieurs options pour les utilisateurs qui peuvent souhaiter gérer leur porte-monnaie directement depuis le site (grâce à l’utilisation d’une extension telle que MetaMask) ou avoir recours à un porte-monnaie hardware tel que Ledger.

Lost in translation

Dans la nuit du 23 au 24 avril aux alentours du minuit, les utilisateurs du site ont pu constater un comportement bizarre : le site affichait en effet un certificat autosigné, provoquant une alerte au sein du navigateur indiquant que la connexion n’était pas sure.

Pour beaucoup d’utilisateurs peu attentifs, c’est un simple détail qui ne les a pas inquiétés outre mesure. Malheureusement, c’était le seul indice permettant d’indiquer que le site sur lequel ils se trouvaient n’était pas le site légitime de MyEtherWallet, mais une copie réalisée par des cybercriminels dans le but de récupérer les identifiants d’accès aux porte-monnaie des utilisateurs de MyEtherWallet.

L’URL du site était pourtant la bonne. Mais l’attaque mise en place par les cybercriminels visait l’infrastructure de routage des paquets internet : comme l’expliquent plusieurs experts, les attaquants ont employé une méthode connue sous le nom de BGP Hijacking afin de rediriger les utilisateurs demandant à accéder au nom de domaine MyEtherWallet.com vers un site malveillant reprenant l’apparence du site original.

Des torts partagés

La technique du BGP Hijacking est connue depuis longtemps, mais reste une vulnérabilité exploitable. Elle nécessite que les attaquants soient en mesure de prendre le contrôle des serveurs BGP (Border Gate Protocol) d’un fournisseur d’accès afin de pousser celui-ci à envoyer de fausses informations à ses pairs. Le protocole BGP est notamment utilisé par les serveurs DNS (Domain Name System) afin de déterminer où les paquets internet doivent être envoyés.

En manipulant les informations transmises par l’un des acteurs, les attaquants sont ainsi parvenus à rediriger le trafic normalement destiné à MyEtherWallet, en poussant les utilisateurs à se connecter à un serveur sous leur contrôle plutôt qu’au serveur de MyEtherWallet.

 

Dans ce cas précis, les fausses informations de routage semblent provenir d’un fournisseur d’accès basé dans l’Ohio, Enet.inc. Le protocole BGP est naturellement conçu pour accorder la confiance aux informations provenant des pairs, ce qui a permis aux attaquants de propager ces faux messages jusqu’aux serveurs DNS utilisés par Amazon. Plusieurs autres services de DNS ont été affectés par ces attaques : dans un post de blog détaillant l’attaque, CloudFlare explique que certains de ses serveurs DNS ont également été affectés et ont relayé les annonces provenant d’Enet.inc.

Ces messages annonçaient que plusieurs adresses IP, dont les requêtes DNS étaient habituellement résolues par le service de DNS d’Amazon, devaient dorénavant passer par un serveur DNS contrôlé par les attaquants et redirigeant le trafic vers un serveur malveillant, qui contenait le site factice ayant permis de voler les ethers des utilisateurs.

Tous les chemins mènent au root

L’attaque est restée active pendant deux heures, le temps que la communauté se rende compte de ce qu’il se passait et parvienne à rétablir la situation. Pendant ces deux heures, les attaquants ont néanmoins pu récupérer les informations de connexion des utilisateurs qui tentaient de se connecter au site, puis les utiliser sur le véritable site afin de siphonner les porte-monnaie des victimes. Le nombre exact de cryptoactifs volés par les cybercriminels n’est pas connu avec exactitude pour le moment, mais celui-ci est évalué à 160.000 dollars.

Pour résumer l’attaque dans ses grandes lignes, les attaquants sont parvenus à modifier les indications de routage des paquets pour rediriger les utilisateurs qui tentaient de se connecter vers l’adresse myetherwallet.com vers un site malveillant.

Difficile de pointer du doigt un acteur en particulier, les fautes sont ici partagées : on peut ainsi blâmer la sécurité défaillante des fournisseurs d’accès ayant laissé leurs serveurs vulnérables, leurs pairs qui ne vérifient pas la validité des informations de routage transmises et se contentent de relayer l’information, les utilisateurs du site qui ne se sont pas inquiétés de la présence d’un certificat invalide, etc. Le problème est connu depuis longtemps et ce n’est pas non plus la première fois qu’il est utilisé pour dérober des cryptomonnaies : comme le rappelle Bleeping Computer, des attaques de ce type ont déjà été observées en fin d’année dernière et en début d’année.

Go to Source


bouton-devis