Une faille de sécurité critique découverte sur le portefeuille Coinomi

On aurait trouvé une vulnérabilité critique dans le portefeuille de cryptomonnaies Coinomi, ce qui aurait coûté leurs fonds à certains utilisateurs. Selon les affirmations publiées sur Internet, le portefeuille envoie des phrases de récupération (seed phrases) à un programme tiers pour vérification orthographique.

L’équipe de Coinomi n’a pas encore répondu à une demande de commentaires, pas plus qu’elle n’a commenté le problème par aucun canal. Le portefeuille contient plus d’un demi-million de téléchargements sur le Google Play Store.

Warith Al Maawali, consultant en sécurité informatique, a été identifié comme celui qui a découvert le problème. Il a créé un site Web Avoid-coinomi.com où il partage sa version des faits et l’a posté ensuite sur Reddit.

“Tout d’abord, j’admets que c’était une erreur de ma part de faire confiance au portefeuille Coinomi en utilisant une de mes passphrases principales de portefeuille (Exodus) dans leur application, explique Al Maawali. Je voulais déplacer certains des actifs qui n’étaient pas pris en charge par le portefeuille Exodus en utilisant la même passphrase/seed”.

Le 22 février, il a remarqué que “plus de 90% des actifs de mon portefeuille Exodus étaient transférés vers plusieurs adresses, la première transaction ayant été faite en BTC le 19 février 2019 vers 3h30 du matin. Viennent ensuite l’ETH (y compris les jetons ERC20), LTC et enfin BCH”.

Lorsqu’il a commencé à analyser le problème, il a découvert que l’intégralité de la phrase secrète, en clair, était envoyée vers un nom de domaine (googleapis.com), propriété de Google, à des fins de vérification orthographique. “En conséquence, un membre de l’équipe de Google ou une personne ayant accès aux requêtes HTTP envoyées à googleapis.com a trouvé la phrase secrète et l’a utilisée pour voler mes actifs cryptographiques d’une valeur de 60 000 USD à 70 000 USD (au prix du marché actuel). Quiconque est impliqué dans la technologie et la cryptomonnaie sait qu’un mot anglais aléatoire composé de 12 mots séparés par des espaces sera probablement la phrase de récupération d’un portefeuille de crypto”, explique l’utilisateur u/warith.

Il a contacté Coinomi, leur faisant part de ses conclusions, mais il ne s’attendait pas à la réponse reçue. “L’équipe de Coinomi n’a pas adopté de comportement responsable et m’a constamment interrogé sur le problème technique qui se cachait derrière le bogue, car elle craignait pour son image et sa réputation auprès du public”, écrit-il. Ils n’arrêtaient pas de me rappeler (un peu menaçant) les implications juridiques si je rendais publiques les informations dont je dispose et ils ont oublié leur responsabilité légale vis-à-vis de mes actifs crypto volés, ainsi que des risques que courent les autres utilisateurs du portefeuille”. Il a conclu en déclarant qu’il envisageait de prendre des actions en justice contre Coinomi LTD, la société basée au Royaume-Uni, si elle ne prenait pas la responsabilité de ce problème de sécurité.