Des chercheurs de la KU Leuven ont mis au jour des failles de confidentialité dans 85 portefeuilles crypto populaires. Ainsi, des adresses peuvent être liées, des utilisateurs peuvent rester identifiés après s’être déconnectés et le comportement de navigation peut être associé au patrimoine crypto. Ces problèmes touchent des millions d’utilisateurs dans le monde.
Les portefeuilles crypto sous forme d’extensions de navigateur sont populaires pour accéder aux applications Web3, telles que l’échange ou le prêt de cryptomonnaies. De nombreux utilisateurs partent du principe qu’ils restent anonymes, mais une étude de la KU Leuven démontre que ce n’est pas toujours le cas. Les chercheurs ont analysé 85 portefeuilles, représentant environ 35 millions d’utilisateurs.
Liaison d’adresses et suivi du comportement de navigation
L’étude révèle que 17 portefeuilles, totalisant 23 millions d’utilisateurs, peuvent lier entre elles des adresses crypto appartenant au même utilisateur. Par conséquent, des adresses qui auraient dû rester séparées sont tout de même associées à une seule personne. De plus, il s’avère que la déconnexion de 22 des 36 portefeuilles Ethereum examinés ne signifie pas toujours que l’accès est réellement révoqué. Un site web ou un script peut ainsi reconnaître à nouveau un utilisateur ultérieurement.
Le risque est encore plus sensible lorsque des trackers extérieurs aux sites Web3 demandent des informations au portefeuille. Pour 23 des 36 portefeuilles, des pages cachées ou des fenêtres intégrées pouvaient récupérer ces données. De ce fait, un comportement de navigation ordinaire, comme la lecture d’actualités, peut être lié à des adresses crypto.
Sécuriser les portefeuilles crypto
Les chercheurs ont informé les développeurs de portefeuilles concernés avant de publier leurs conclusions. Coinbase Wallet, Coin98 et Hana Wallet ont depuis résolu les problèmes. D’autres acteurs majeurs, tels que MetaMask et Binance Wallet, ont réagi via leurs programmes de « bug bounty ».
Les utilisateurs peuvent réduire leurs risques en supprimant manuellement les anciennes autorisations dans les paramètres du portefeuille. Néanmoins, les chercheurs soulignent que la responsabilité ne doit pas reposer uniquement sur les utilisateurs. Un outil interactif permettant de tester si un portefeuille est affecté a également été développé.
L’étude démontre que l’écosystème Web3 a besoin de normes plus sûres et de meilleurs paramètres par défaut. L’article sera présenté lors d’une conférence à Calgary, au Canada. La KU Leuven mène des recherches importantes sur la sécurité des technologies couramment utilisées. Récemment, des chercheurs ont ainsi réussi à mettre au jour des vulnérabilités dans les processeurs AMD, les serveurs informatiques et les serveurs cloud.
