Début 2024, des chercheurs en sécurité ont découvert une faille dans l'application Ledger Live qui permettait à un attaquant de modifier l'adresse de destination d'une transaction. L'utilisateur voyait une adresse sur son écran d'ordinateur, mais le hardware wallet recevait une adresse différente. Si personne ne vérifiait l'écran du Ledger, les fonds partaient chez l'attaquant.
C'est l'exemple parfait d'une attaque man in the middle (MITM). Quelqu'un se glisse entre vous et votre destination, modifie ce qui transite, et ni vous ni le destinataire ne vous en rendez compte. En crypto, où les transactions sont irréversibles, les conséquences sont immédiates.
Le principe du MITM appliqué à la crypto
L'attaque man in the middle existe depuis bien avant la crypto. Le concept est simple : deux personnes communiquent, et une troisième s'insère dans la conversation sans que personne le sache. En informatique, ça se traduit par un interception du trafic réseau entre votre appareil et le serveur distant.
En crypto, le MITM prend des formes spécifiques. La plus courante consiste à modifier les adresses de wallet lors d'un copier-coller. Vous copiez l'adresse d'un ami pour lui envoyer de l'ETH, un malware sur votre machine détecte le format d'adresse Ethereum dans le presse-papier, et le remplace par l'adresse de l'attaquant. Vous collez, vous envoyez, c'est parti. Ce genre de trojan spécialisé circule depuis des années et continue de faire des victimes.
Les différents vecteurs d'attaque
Le Wi-Fi public est le terrain de jeu classique des attaques MITM. Quand vous vous connectez au Wi-Fi d'un café ou d'un aéroport, un attaquant sur le même réseau peut intercepter votre trafic non chiffré. Si vous accédez à un exchange ou un protocole DeFi sans HTTPS (ça arrive encore sur certains petits projets), l'attaquant voit tout : identifiants, montants, adresses.
L'ARP spoofing est une technique plus agressive. L'attaquant envoie de fausses réponses ARP sur le réseau local pour que votre machine envoie son trafic vers l'attaquant au lieu du routeur. C'est transparent pour vous, votre connexion fonctionne normalement, mais tout passe par un intermédiaire malveillant.
Le DNS spoofing (cousin du DNS hijacking) permet de rediriger votre navigateur vers un faux site quand vous tapez l'adresse de votre exchange. La différence avec le hijacking, c'est que le spoofing agit au niveau local, en empoisonnant le cache DNS de votre machine ou de votre réseau.
Le SSL stripping est peut-être le plus vicieux. L'attaquant intercepte votre connexion HTTPS et la "dégrade" en HTTP simple. Votre navigateur ne montre plus le cadenas, mais combien de personnes vérifient vraiment ce détail à chaque visite ?
Le cas spécifique des hardware wallets
Je pensais que mon Ledger me protégeait de tout. En réalité, c'est plus nuancé. Le hardware wallet signe les transactions hors ligne, ce qui protège la clé privée. Mais si l'ordinateur qui génère la transaction est compromis, l'adresse affichée sur votre écran PC peut être différente de celle réellement envoyée au Ledger.
C'est exactement la faille découverte début 2024. Le Ledger affiche l'adresse de destination sur son propre écran avant de signer. Si vous ne vérifiez pas que l'adresse sur l'écran du Ledger correspond à celle que vous vouliez, vous pouvez valider une transaction vers l'attaquant.
La leçon est claire : vérifiez toujours l'adresse sur l'écran du hardware wallet lui-même, pas sur votre ordinateur. C'est le seul écran de confiance dans la chaîne.
Les signaux qui doivent vous alerter
Des certificats SSL invalides ou des avertissements de sécurité dans le navigateur. Si Chrome vous dit que le certificat de kraken.com n'est pas valide, ne cliquez pas sur "continuer quand même".
Des déconnexions fréquentes de votre exchange. Certaines attaques MITM provoquent des instabilités de connexion parce que l'attaquant doit relayer le trafic et ça crée de la latence.
Des adresses qui changent dans le presse-papier. Faites le test : copiez une adresse ETH, collez-la dans un bloc-notes, vérifiez qu'elle est identique. Si elle a changé, votre machine est compromise. Lancez un scan antivirus immédiatement et consultez comment détecter un spyware sur votre machine.
Protection : ce qui marche vraiment
Le HTTPS est votre première ligne de défense. Un site en HTTPS chiffre la communication entre votre navigateur et le serveur, ce qui rend l'interception beaucoup plus difficile. Vérifiez toujours le cadenas dans la barre d'adresse avant de vous connecter à un exchange.
Un VPN sur les réseaux publics est presque obligatoire si vous faites des transactions crypto. Le VPN crée un tunnel chiffré entre votre machine et le serveur VPN, ce qui empêche un attaquant sur le même Wi-Fi de lire votre trafic.
La double authentification (2FA) via une application comme Google Authenticator (pas par SMS, le SIM swapping peut contourner ça) ajoute une couche de protection même si l'attaquant intercepte vos identifiants.
Pour les transactions importantes, vérifiez l'adresse de destination par un canal séparé. Si quelqu'un vous envoie une adresse par email, confirmez-la par téléphone ou messagerie chiffrée avant d'envoyer des fonds. Ça prend 30 secondes et ça peut vous éviter de perdre des milliers d'euros.
MITM et DeFi : une surface d'attaque élargie
Les protocoles DeFi sont plus exposés parce qu'ils reposent sur des appels de smart contracts via des frontends web. Un attaquant MITM peut modifier les paramètres d'un appel de contrat avant qu'il n'atteigne votre wallet pour signature. Vous pensez approuver un swap de 1 ETH contre 2000 USDC, mais le contrat réel envoie vos ETH vers l'adresse de l'attaquant.
C'est pour ça que les hardware wallets restent la meilleure protection, à condition de lire ce qu'ils affichent. Le Ledger ou le Trezor vous montrent les détails exacts de la transaction que vous allez signer. Si le montant ou l'adresse ne correspondent pas à ce que vous attendez, refusez.
Mon avis après plusieurs années en crypto
Le MITM est une attaque sournoise parce qu'elle est invisible quand elle fonctionne bien. J'ai mis du temps à comprendre que la paranoïa en crypto n'est pas un défaut, c'est une qualité. Vérifier deux fois une adresse, utiliser un VPN sur un Wi-Fi public, lire l'écran de son Ledger avant de confirmer : ces gestes simples auraient évité la majorité des pertes liées aux attaques MITM.
Si vous stockez des montants importants, prenez le temps de sécuriser votre seed phrase et d'utiliser un setup qui minimise la confiance dans un seul appareil.
