BTC
$0.00
0.00%
Je m'appelle Serge Philosopher, je suis journaliste d'investigation et cet article, qui traite des plus grands vols de cryptomonnaies commis à l'aide de l'ingénierie sociale, n'a toujours pas été publié. Mais commençons par le commencement.
Au cours des deux dernières années, j'ai travaillé sur un sujet d'article pour un magazine économique et j'ai fini par entrer en contact avec une personne qui a accepté de me fournir des informations. Mais il s'est avéré que mon interlocuteur venait de s'installer en Espagne et, pour le rencontrer et découvrir les détails de ses activités dans le domaine de la fraude cryptographique, j'ai dû organiser un voyage de Londres à Torrevieja, dans la province d'Alicante. Nous avons convenu de nous retrouver dans un endroit paisible, où les lacs et le silence créent une étrange sensation d’isolement du monde : les Lagunas de La Mata y Torrevieja.
Ainsi, pour décrocher ce scoop, j’ai acheté des billets et je me suis mis en route vers cette ville dont le nom signifie « Vieille tour ».
Assis dans un café confortable, à l'ombre d'arbres majestueux, Michael (ancien membre d'un groupe international spécialisé dans le vol de crypto-actifs) m'a expliqué comment l'authentification multifactorielle pouvait être contournée non pas par du code, mais par un simple abus de confiance.
En évoquant les cas les plus retentissants de vol de cryptomonnaies, il a fait remarquer que les attaques contre Ronin Network (625 millions de dollars), BNB Bridge (569 millions de dollars) et Poly Network (611 millions de dollars) n’étaient que la « partie émergée de l’iceberg » par rapport aux sommes que leur communauté de hackers avait détournées des comptes cryptographiques d’autrui.
« Le maillon faible de tout système, c'est l'humain. Et aucun système cryptographique ne fait exception », a-t-il déclaré avec enthousiasme en évoquant certaines subtilités de son « travail ».
Le stratagème semblait toujours convaincant. Dans un premier temps, les victimes recevaient un message prétendant provenir du service d'assistance technique. L'étape suivante consistait à inviter la victime à une « consultation ». Le message était envoyé par e-mail, mais avec des copies à plusieurs adresses, ce qui donnait l'illusion d'un caractère officiel et d'un contrôle total de la situation. En réalité, ces adresses étaient similaires, mais tout de même fictives.
C'est alors que commençait la phase clé de l'arnaque. La victime recevait un document contenant des instructions pour se connecter à une plateforme en ligne. Tout cela ressemblait à une procédure de sécurité standard. Mais en réalité, ce mot de passe donnait un accès complet au compte, et par là même à tous les comptes. La campagne pouvait durer des semaines, des mois, voire parfois des années.
Selon lui, les chercheurs du Google Threat Intelligence Group ont tout de même recensé des campagnes où les pirates utilisaient l'ingénierie sociale pour contraindre les victimes à créer et à transmettre des mots de passe pour des applications et des portefeuilles cryptographiques. Par la suite, les cyber-spécialistes, compte tenu du niveau de détail des attaques, ont commencé à tirer des conclusions quant à l'implication d'entités financées par l'État dans ces vols de cryptomonnaies. Et tous les indices menaient vers l'un des pays post-soviétiques.
À mon retour au Royaume-Uni, j’ai été interpellé à l’aéroport par un homme tout à fait banal : « Repoussez la publication de cet article de six mois », m’a-t-il dit d’un ton catégorique et calme. Je connaissais cet agent des services secrets, et c'est précisément pour cette raison que cet article révélateur sur les plus grands vols de cryptomonnaies commis à l'aide de l'ingénierie sociale n'a toujours pas été publié.
