Mise à jour : Répondre aux préoccupations concernant notre récente violation de compte X (Twitter) | par SatoshiLabs | mars 2024

Malgré nos solides mesures de sécurité recommandées par la plateforme, notamment l'utilisation de mots de passe forts et l'authentification à deux facteurs (2FA), notre compte X (https://twitter.com/Trezor) a été compromis dans la soirée du mardi 19 mars (Nous Je tiens à préciser que nous n'utilisons pas de SMS pour 2FA, mais employons plutôt des méthodes d'authentification plus sécurisées). Les attaquants ont publié une série de messages non autorisés et trompeurs, demandant notamment aux utilisateurs d'envoyer des fonds à une adresse de portefeuille inconnue, avec des liens néfastes vers une prévente frauduleuse de jetons.
Nous avons été alertés de la faille à 23h53, et les messages frauduleux ont été rapidement identifiés et supprimés peu de temps après leur apparition, atténuant ainsi l'ampleur des dégâts.

• La violation de notre compte X s’est révélée être une attaque de phishing sophistiquée, planifiée au fil des semaines
• De notre enquête, nous avons compris que les attaquants se sont livrés à un stratagème calculé qui a débuté le 29 février 2024, se faisant passer pour une entité crédible de l’espace cryptographique, doté d’une présence bien conçue sur les réseaux sociaux et d’un intérêt apparemment réel pour le dialogue
• L'imitateur, utilisant un identifiant X avec des milliers de followers, a contacté notre équipe de relations publiques via X, sous prétexte de planifier un entretien avec notre PDG
• Pendant plusieurs jours, la conversation a progressé avec des échanges crédibles
• Cela a ouvert la voie à un appel, qui a abouti au partage d’un lien malveillant, déguisé en invitation Calendly
• Un membre de notre équipe, après avoir cliqué sur le lien, a été redirigé vers une page demandant des informations de connexion X, un signal d'alarme qui a immédiatement suscité des soupçons et la cessation de l'interaction
• La réunion a été reportée
• Au moment de la réunion, l'attaquant a feint des problèmes techniques et a exhorté le membre de notre équipe à « autoriser » à rejoindre l'appel. L'autorisation était cependant une invitation à connecter l'application Calendly de l'attaquant à notre compte X. Dans l'urgence du moment, notre équipier a confirmé la connexion. La violation a été retracée dans les journaux d'authentification de X
• L'application Calendly étant en possession de l'attaquant, celui-ci a pu envoyer des tweets frauduleux en notre nom

• Notre objectif initial était d’atténuer l’impact de l’incident
• Nous avons rapidement supprimé les publications non autorisées et révoqué toutes les sessions actives, y compris celles des applications tierces, pour empêcher tout accès non autorisé
• Nous avons également lancé un audit de sécurité complet pour enquêter de manière approfondie sur la violation, en nous concentrant sur l'identification de la méthode utilisée par les attaquants pour contourner nos mesures de sécurité

Trezor, en tant que portefeuille matériel pionnier au monde, est au service de l'espace Bitcoin et crypto-monnaie depuis 2013. Nous voulons affirmer que le cœur de ce que nous avons construit au cours de ces années est une sécurité inébranlable. À la lumière du récent incident, il est crucial de comprendre que la sécurité de tous nos produits et de nos systèmes internes reste intacte.
Nous sommes conscients qu'il existe certaines préoccupations. Cependant, la violation de notre compte X ne devrait pas avoir de conséquences sur l'intégrité de nos produits. Voici pourquoi,

• Les portefeuilles Trezor sont conçus pour garder vos actifs numériques hors ligne et à l'abri des vulnérabilités en ligne
• Notre architecture de sécurité garantit que les opérations critiques, telles que la signature de transactions, se déroulent dans les limites sécurisées de votre appareil Trezor, sans jamais exposer vos clés privées
• La confiance dans nos produits repose sur des pratiques de sécurité rigoureuses et à la pointe du secteur, qui incluent des audits réguliers et des tests continus
• C'est pourquoi nous avons choisi de garder nos logiciels et matériels open source et publics, prêts pour tout type de tests si nécessaire

C'est ce qui nous a aidé à gagner la confiance de plus de 1,5 million de clients dans le monde.

• Quelles mesures sont prises pour sécuriser les comptes sociaux de Trezor ?

Nous avons toujours apporté le plus grand soin à tous nos canaux de communication. Même avant l’incident actuel, nous avions mis en place des protocoles de sécurité stricts, notamment des mots de passe forts et une authentification à deux facteurs. Notre enquête a révélé le caractère sophistiqué de l’attaque qui se préparait depuis des semaines. À l’avenir, nous continuerons à mettre en œuvre des protocoles de sécurité améliorés pour tous nos canaux de communication externes.

• De telles violations peuvent-elles affecter la sécurité de mon portefeuille Trezor ?

Non.
Vos fonds restent en sécurité. Cependant, comme toujours, de tels incidents rappellent la prudence lorsqu’il s’agit de liens non autorisés. N'entrez votre graine de récupération nulle part, sauf dans votre appareil Trezor lors de la récupération. Veuillez également noter qu'en aucun cas un représentant de Trezor ne recherchera votre graine de récupération, par e-mail, par le service client, par site Web ou par toute autre forme de communication. Et aucune vente de jetons n’est prévue, quelle qu’elle soit.

• Cet incident affectera-t-il la façon dont Trezor interagit avec les applications tierces à l’avenir ?

Malheureusement, dans le paysage commercial mondial, la collaboration avec des plateformes tierces (X, dans ce cas) reste essentielle, même si elle comporte des défis inhérents. Nous continuons de réévaluer nos protocoles de sécurité concernant les applications tierces.