ADA n° 3 : Identifier les tentatives d'address poisoning et s'en protéger
Recevoir de la cryptomonnaie sans rien avoir demandé n'est pas forcément bon signe.

Luca
4 minutes de lecture
·

À venir dans cet article
Qu'est-ce que l'address poisoning ? #
Aussi appelée address spoofing, une attaque d'address poisoning consiste à tromper la vigilance d'une personne en lui faisant envoyer des fonds à une adresse qu'elle pensait être la sienne.
Ça consiste entre autres à pousser quelqu'un à faire une erreur.
Plus spécifiquement, dans ce type d'arnaque l'attaquant espère que la cible copie une adresse depuis son historique de transactions sans vérifier l'intégralité de celle-ci.
En copiant une adresse créée par l'attaquant qui ressemble volontairement à celle de la cible, cette dernière réalisera une transaction vers une adresse qui ne lui appartient en fait pas.
Si cela se produit, le tour est joué et les fonds dérobés.
Bien que les conséquences de cette arnaque puissent être douloureuses, elle ne fonctionne que peu en pratique. Dans la suite, tu apprendras comment facilement l'identifier pour t'en prémunir.
Comment l'identifier ? #
Si tu reçois une transaction provenant d'une adresse similaire à la tienne mais qui t'est inconnue, il y a fort à parier que tu aies été ciblé par une attaque de spoofing d'adresse.
Imaginons que ton adresse soit la suivante.
0x256b3CC1e516d124B3027EcD083Aa5a940d1328e
Et que tu reçoives une transaction provenant de cette autre adresse.
0x256b4OO7e218d421C8037EcD038Bb6a490d2813c
Dans ton historique de transactions, ces adresses s'afficheront probablement de cette façon.
0x256b3CC1...940d1328e
0x256b4OO7...490d2813c
Les 6 premiers caractères étant identiques, une simple erreur d'inattention pourrait te faire supposer que ces deux adresses sont identiques.
Tu copies celle qui n'est (en fait) pas la tienne et y envoie des fonds.
À partir de là, c'est terminé.
La tentative d'address poisoning a été concluante... pour l'attaquant.
Comment s'en protéger ? #
Lorsque tu cherches à obtenir ton adresse avant de réaliser une transaction, n'utilise jamais ton historique de transactions.
À la place, sers-toi toujours de la fonctionnalité de copie d'adresse proposée par ton wallet. Sur MetaMask par exemple, c'est l'icône située juste à droite de ton adresse.
La plupart des wallets intègrent cette fonctionnalité en plus de te permettre de scanner ton adresse sous forme de QR code. Pense donc à l'utiliser pour ta convenance et ta sécurité.
Comment font-ils ? #
Tu te demandes peut-être comment quelqu'un peut générer une adresse semblable à une autre, n'est-ce pas ?
Pour cela, il existe ce que l'on appelle des générateurs de vanity addresses.
Une vanity address est une adresse générée dans le but d'obtenir un ensemble de caractères bien précis dans celle-ci.
Entre autres, c'est une adresse dont la partie générée aléatoirement est réduite autant que possible.
Un générateur de ce type permet alors de créer des adresses dont les premiers caractères — et parfois même les derniers — correspondent à un ensemble de caractères voulu.
Par exemple, si quelqu'un souhaite créer une adresse commençant par 0x256b, c'est vers ce type de logiciel qu'il se tournera.
Enfin, c'est en créant des adresses les plus proches possible de celles de leurs cibles que certains attaquants parviennent à leurs fins.
Note : Des sites comme Vanity ETH te permettent de générer ce type d'adresses. Pour ta sécurité, n'utilise toutefois aucune de ces adresses (et les clés qui vont avec) pour ton usage personnel.
Mots de la fin #
Maintenant que tu es au fait de ce qu'est l'address poisoning, tu sais que ce type d'arnaque est en fait simple à déjouer.
Pour cela, il te faut adopter deux réflexes :
- utiliser la fonctionnalité de copie d'adresse (ou de QR code) de ton wallet crypto ;
- relire attentivement les adresses que tu colles avant de réaliser une quelconque transaction.
Concernant ce dernier point, retiens bien que ne lire que les six premiers caractères d'une adresse ne suffit pas nécessairement à confirmer que c'est la tienne.
Lis au moins les 10 premiers caractères (et idéalement les 10 derniers).
Enfin, tu peux aussi enregistrer les adresses vers lesquelles tu envoies fréquemment des fonds. De cette façon, tu n'auras qu'à cliquer sur l'une d'entre elles dans ta "liste de contacts", et tu seras sûr que le destinataire est bien celui que tu penses être.
↑