Coinbase critiqué pour son processus de récupération de phrase de récupération

La méthode de récupération « incroyable » de Coinbase déclenche un tollé sécuritaire

Le 19 mars, un chercheur senior en sécurité a publiquement critiqué Coinbase pour une fonctionnalité de récupération de portefeuille qui invite les utilisateurs à saisir leur phrase de récupération mnémonique complète en texte clair. Yu Xian, le fondateur de la firme de sécurité blockchain SlowMist, a qualifié cette pratique sur les réseaux sociaux d'« incroyable », soulignant un risque de sécurité fondamental. Exiger d'un utilisateur qu'il tape ou colle sa clé maîtresse dans un formulaire web l'expose aux attaques par presse-papiers, aux enregistreurs de frappe et aux tentatives de phishing, annulant ainsi le principe de sécurité fondamental qui consiste à garder une phrase de récupération hors ligne en tout temps. Ce choix de conception transfère entièrement la responsabilité de sécuriser l'environnement numérique à l'utilisateur, ce qui constitue un point de défaillance significatif même pour les personnes techniquement compétentes.

La vulnérabilité de la phrase de récupération permet le vol présumé de 176 millions de dollars en Bitcoin

Les risques exacts associés aux phrases de récupération exposées sont clairement démontrés par une récente affaire devant la Haute Cour du Royaume-Uni. Un plaignant, Ping Fai Yuen, allègue que son épouse a volé 2 323 Bitcoins, d'une valeur d'environ 176 millions de dollars, en utilisant secrètement une caméra de sécurité pour enregistrer sa phrase de récupération et ses identifiants de portefeuille. Les documents judiciaires montrent que les fonds ont ensuite été transférés vers 71 adresses différentes en décembre 2023. Cette affaire fournit un exemple réel et dramatique de la manière dont même la proximité physique peut compromettre une phrase de récupération si elle est visuellement exposée. Le vol présumé souligne le besoin crucial de processus de récupération qui n'exigent pas des utilisateurs de révéler leur clé secrète maîtresse sous quelque format numérique ou observable que ce soit.

L'industrie se tourne vers les portefeuilles « sans phrase de récupération » avec la technologie Passkey

En réponse directe aux faiblesses inhérentes des phrases de récupération gérées par l'utilisateur, l'industrie progresse vers des méthodes d'authentification plus robustes. L'entreprise d'infrastructure Bitcoin Breez a récemment intégré la connexion Passkey dans son SDK, permettant aux développeurs de construire des portefeuilles auto-dépositaires qui ne dépendent pas des phrases traditionnelles de 12 mots pour un accès routinier. Cette technologie, basée sur la norme FIDO2 WebAuthn, utilise la biométrie sur l'appareil, comme Face ID ou les scans d'empreintes digitales, pour authentifier les utilisateurs et dériver des clés. La clé privée ne quitte jamais le matériel sécurisé de l'appareil, tel que le Secure Enclave d'Apple ou la puce Titan d'Android, la protégeant ainsi des menaces en ligne. Ce changement restructure le modèle de sécurité autour des protections familières au niveau de l'appareil, visant à rendre l'auto-garde plus sûre et plus accessible pour un public plus large.

Coinbase critiqué pour son processus de récupération de phrase de récupération « incroyable »

Points clés à retenir

La méthode de récupération « incroyable » de Coinbase déclenche un tollé sécuritaire

La vulnérabilité de la phrase de récupération permet le vol présumé de 176 millions de dollars en Bitcoin

L'industrie se tourne vers les portefeuilles « sans phrase de récupération » avec la technologie Passkey