Le crypto wallet Tangem fait face à une contre-réaction après qu'un bug de l'application ait exposé les clés privées des utilisateurs

Tangem, un fournisseur de wallet crypto-monnaie , a été impliqué dans une controverse après qu'une vulnérabilité de sécurité critique dans son application mobile ait exposé les clés privées de certains utilisateurs.

Selon Tangem, la vulnérabilité provenait d'un bogue dans l'application mobile de Tangem, qui enregistrait par erreur les clés privées des utilisateurs dans les journaux de l'application lorsqu'un utilisateur créait un portefeuille et générait une phrase de départ.

Notamment, le problème a été repéré par les utilisateurs du portefeuille Tangem sur la plateforme de médias sociaux Reddit, mais n'a été résolu par l'entreprise qu'après qu'un message du 29 décembre de l'utilisateur u/areklanga ait attiré l'attention sur le problème.

Le Redditor a affirmé que les journaux n'étaient pas seulement stockés dans l'application, mais qu'ils étaient également potentiellement accessibles via les historiques de messagerie des utilisateurs, les systèmes de support internes de Tangem et les outils de suivi des tickets.

Pour ajouter à la controverse, le message original qui signalait le bogue a été supprimé et l'entreprise n'a pas « fourni de réaction sensée », a ajouté l'utilisateur.

Qu'est-ce qui s'est passé ?

Tangem a abordé le problème dans une réponse du 29 décembre, affirmant que le problème avait un impact minime et n'avait touché que les utilisateurs qui « ont immédiatement soumis une demande d'assistance via l'application » après avoir utilisé une phrase de départ générée.

Le processus de génération de graines de Tangem offre aux utilisateurs la possibilité de créer des portefeuilles avec ou sans phrase de graines. Lorsqu'un utilisateur choisit de créer un portefeuille avec une phrase de graines, l'application Tangem génère une phrase de 12 ou 24 mots basée sur la norme BIP39.

Cette phrase est affichée une fois pendant la configuration et les utilisateurs doivent l'écrire et la stocker en toute sécurité, car elle ne peut pas être récupérée ultérieurement.

Dans un article de suivi publié le 30 décembre, la société a déclaré que le bogue, qui avait été introduit lors de l'ajout d'un mécanisme de journalisation NFC, avait été corrigé dans une récente mise à jour et a exhorté les utilisateurs à mettre à jour l'application mobile.

En ce qui concerne l'impact de la violation, la société a déclaré que les utilisateurs concernés représentaient « moins de 0,1 % », des utilisateurs qui ont activé un portefeuille à l'aide d'une phrase de départ et ont contacté le support « dans les 7 jours suivant l'activation ».

Elle a ajouté que l'incident n'avait entraîné aucune perte de fonds, car aucune des clés privées de l'utilisateur n'avait été compromise.

Dans le cadre de ses mesures post-incident, Tangem a contacté les utilisateurs concernés et supprimé définitivement toutes les pièces jointes de journaux envoyées à l'équipe d'assistance de l'entreprise.

Au moment de la rédaction de cet article, la réponse de Tangem s'est limitée à Reddit et elle n'a fait aucune annonce concernant l'incident sur ses autres canaux de médias sociaux.

Cela a suscité certaines critiques de la part des membres de la communauté, dont beaucoup restent sceptiques quant aux mesures prises par le fournisseur de portefeuille.

Le vol de clés privées reste une préoccupation

Les clés privées restent exposées à diverses menaces, notamment les vulnérabilités logicielles, les attaques de phishing et les pratiques de stockage inappropriées.

Comme l'a déjà signalé Invezz, le vol de clés privées a été le vecteur d'attaque le plus important en 2024, représentant environ 75 % de tous les piratages. Rien qu'au troisième trimestre, plus de 343 millions de dollars ont été perdus, selon un autre rapport.

Les fuites de clés privées ont également entraîné certaines des plus grosses pertes de l'année. Par exemple, le piratage de la exchange crypto indienne WazirX en juillet est dû à des clés privées compromises, ce qui a entraîné des pertes de plus de 235 millions de dollars.