La connexion Google sur MetaMask soulève des risques pour les clés de portefeuille stockées dans le cloud
La nouvelle option de connexion Google/iCloud de MetaMask permet aux utilisateurs de synchroniser des clés privées cryptées avec le cloud, ce qui suscite des problèmes de sécurité.
À retenir
Résumé généré par l'IA, examiné par la rédaction.
MetaMask a introduit une fonctionnalité permettant aux utilisateurs de se connecter avec leurs identifiants Google ou iCloud et de sauvegarder les données de portefeuille cryptées (y compris les clés privées) dans le cloud.
Cette fonctionnalité a été signalée par Cos de SlowMist comme un risque de sécurité majeur, car une compromission du compte cloud pourrait entraîner la perte de tous les portefeuilles liés.
Le système crypte le fichier mnémonique, le mot de passe de déverrouillage du portefeuille servant de clé de décryptage.
Ce développement met en évidence la tension entre la commodité pour les nouveaux utilisateurs et les principes de décentralisation/sécurité prisés par les investisseurs crypto chevronnés.
Les experts en sécurité continuent de souligner que les sauvegardes hors ligne traditionnelles (écriture de la phrase de départ) restent l'option la plus sûre.
La dernière option de connexion de MetaMask via les comptes Google suscite de vives inquiétudes au sein de la communauté crypto. Bien que cette mise à jour offre une plus grande commodité, les utilisateurs avertissent que la fonctionnalité pourrait exposer les clés privées des portefeuilles si des pirates venaient à compromettre les comptes cloud.
La découverte qui a déclenché les inquiétudes
L’alerte a été donnée par Cos, fondateur de la société de sécurité blockchain SlowMist. Dans un post sur X, il a indiqué que MetaMask permet désormais aux utilisateurs de se connecter via Google et de synchroniser automatiquement les données du portefeuille. Cela inclut les phrases mnémotechniques importées et les clés privées stockées dans le cloud. Cos a admis que cette fonctionnalité l’avait pris au dépourvu, la qualifiant de risque de sécurité inattendu.
Il a expliqué que si un compte Google était piraté, l’attaquant pourrait potentiellement supprimer plusieurs portefeuilles liés via MetaMask en une seule opération. Son avertissement a trouvé un écho dans toute la communauté crypto, alors que de nombreux investisseurs dépendent de MetaMask pour gérer leurs actifs basés sur Ethereum. Avec des milliards de dollars transitant par des portefeuilles en auto-conservation, même la plus petite faille pourrait provoquer des pertes considérables.
Fonctionnement du système
MetaMask a conçu cette nouvelle fonctionnalité de connexion pour faciliter l’usage. Au lieu de créer un portefeuille à partir de zéro, les utilisateurs peuvent en initialiser un en utilisant les identifiants Google ou iCloud. Le portefeuille chiffre ensuite le fichier mnémotechnique et en effectue une sauvegarde dans le service cloud choisi. Le mot de passe de déverrouillage du portefeuille sert de clé de déchiffrement et permet aux utilisateurs d’exporter et de gérer eux-mêmes les sauvegardes.
Sur le papier, cela simplifie l’intégration des nouveaux utilisateurs qui rencontrent des difficultés pour stocker leurs clés privées. D’autres fournisseurs de portefeuilles expérimentent également des méthodes similaires. Par exemple, le portefeuille Base de Coinbase utilise des Passkeys pour générer et stocker les identifiants, enregistrés par défaut dans iCloud Keychain. Bien que cela réduise la friction, cela transfère également la responsabilité de la sécurité aux géants technologiques comme Apple et Google.
Réactions de la communauté
L’annonce a déclenché un vif débat en ligne. Certains utilisateurs ont souligné que les sauvegardes locales hors ligne restent l’option la plus sûre, car elles ne sont pas exposées aux piratages cloud ni aux tentatives de phishing. Un utilisateur a commenté de manière directe que se fier aux grandes entreprises technologiques pour la sécurité Web3 semblait contre-intuitif, puisque le système vise à la décentralisation pour réduire ces dépendances. Cos a répondu à certaines discussions en précisant que l’approche de MetaMask n’a rien à voir avec le calcul multipartite (MPC).
Il s’agit plutôt d’un système simple où le portefeuille lie les fichiers chiffrés aux comptes cloud. D’autres ont soulevé des questions sur les limitations, notamment si la fonctionnalité ne supporte que les portefeuilles Ethereum ou si elle pourrait s’étendre au Bitcoin. Cos a répondu que le système peut techniquement supporter les deux types de portefeuilles, tout en reconnaissant certaines lacunes dans la gestion des actifs mis en staking, comme l’ETH.
Trouver l’équilibre entre commodité et sécurité
Cette situation met en lumière une tension persistante dans le monde crypto : concilier facilité d’usage et véritable décentralisation sécurisée. Pour les nouveaux utilisateurs, l’intégration cloud réduit les obstacles et diminue le risque de perdre l’accès à leur portefeuille. Mais pour les utilisateurs expérimentés, l’idée de stocker les clés privées dans l’écosystème de Google ou Apple représente un compromis risqué.
Cos a conclu son fil de discussion par un rappel à la communauté : ne négligez pas les sauvegardes traditionnelles. Noter les phrases mnémotechniques et les conserver hors ligne peut sembler contraignant, mais cela reste la référence pour protéger ses fonds. À mesure que davantage de portefeuilles intégreront la connexion cloud, les investisseurs devront peser la commodité face au risque. Car dans le monde crypto, le raccourci le plus simple peut parfois entraîner les plus grandes pertes.
Suivez-nous sur Google News
Recevez les dernières informations et mises à jour sur la crypto.
Articles similaires
Le PDG de Coinbase confirme l’élan bipartisan pour la législation du marché du BTC
Shweta Chakrawarty
Author
Pi Network connaît une croissance rapide avec 253 applications sur le Mainnet et 14,8 millions d’utilisateurs
Shweta Chakrawarty
Author
Le fondateur de Binance CZ qualifie l’or tokenisé d’actif « Trust Me Bro »
Shweta Chakrawarty
Author