Des escrocs tentent de se faire passer pour Metamask, le populaire service de portefeuille de cryptomonnaies. Faites attention aux mails que vous recevez.

Il y a eu une « nouvelle connexion sur votre compte ». C’est ce que nous annonce le mail, où figure en gros le logo de Metamask, un très populaire service de portefeuille crypto pour la blockchain Ethereum. En dessous, le mail continue en disant que la connexion à notre compte s’est faite depuis un nouvel appareil, et nous invite à « réinitialiser » notre portefeuille en cliquant sur un bouton.

metamask_phishing

Ce genre de mail est courant : certains services, comme Gmail ou encore Amazon, proposent de vous envoyer des mails à chaque fois qu’il y a une connexion à votre compte depuis un appareil inconnu, afin de rendre plus difficiles les piratages de compte. Si vous avez un compte Metamask, recevoir un tel message pourrait donc être particulièrement inquiétant et vous faire croire à un pirate.

Si vous avez reçu ce mail, pas de panique : il s’agit ici d’une tentative de phishing. Il n’y a pas vraiment eu de nouvelle connexion sur votre compte Metamask, et vos cryptomonnaies sont en sécurité.

Une tentative hasardeuse

Le mail qu’a reçu Numerama est plutôt bien fait : l’intitulé du mail, « confirmation », est assez crédible, tout comme le texte dans le corps du mail et l’utilisation du logo de Metamask, la célèbre tête de renard. En bas du mail, on peut même voir qu’il est signé « @ConsenSys », le vrai nom de l’éditeur du logiciel.

Mais il y a également de nombreux points qui ne collent pas : l’anglais est approximatif, il manque des mots, et surtout, l’adresse mail à laquelle nous avons reçu ce mail est l’adresse générique de la rédaction, et pas d’une personne en particulier. Ensuite, en observant attentivement l’expéditeur du mail, on s’aperçoit qu’il ne s’agit pas de Metamask, mais d’une adresse Gmail comportant de nombreux chiffres.

Enfin, lorsqu’on survole le bouton « unlock » (débloquer, ndlr) dans le corps du mail, on peut voir que le lien ne vous amène pas vers le site de Metamask, mais vers Tripetto, un site de formulaire en ligne. Pas de doute à avoir : il s’agit bien d’une tentative de phishing. Numerama a cliqué dessus, pour que vous n’ayez pas à le faire.

Un hack par formulaire en ligne

Cliquer sur le bouton nous amène donc vers Tripetto. Mais la page veut nous faire croire que nous sommes bien sur le site de Metamask et nous enjoint à nouveau à débloquer notre portefeuille. Là encore, le phishing n’est pas très bien réalisé : il est indiqué en bas de la page que le formulaire est hébergé par Tripetto. Mais soit, Numerama veut aller jusqu’au bout de l’expérience, et donc nous cliquons à nouveau sur le lien.

metamask_phishing1
Le phishing nous amène vers une page utilisant le logo de Metamask. // Source : Capture d’écran Numerama

La page d’après nous répète qu’une prétendue connexion aurait eu lieu sur notre compte, et nous demande de fournir des informations basiques afin de pouvoir réinitialiser le portefeuille. Il faut préciser notre adresse mail, les derniers chiffres de notre numéro de téléphone, et même la date de notre dernière connexion sur Metamask.

metamask_phishing2
Les auteurs du phishing tentent d’obtenir le plus d’informations possibles sur vous. // Source : Capture d’écran Numerama

Une fois ces informations remplies, nous sommes redirigés vers la page suivante. Et c’est véritablement là que le phishing a lieu : le faux site Metamask nous demande de renseigner notre phrase secrète. Il s’agit de12 mots qui permettent d’accéder aux comptes cryptos, et qui servent à authentifier le ou la propriétaire du portefeuille. Ils ne peuvent être ni changés ni récupérés en cas de perte.

Il s’agit donc d’une phrase très importante, qui doit absolument rester secrète si vous voulez que vos cryptomonnaies restent en sécurité — et il s’agissait de la cible des auteurs du phishing. Avec une telle phrase et avec votre adresse mail, les escrocs peuvent en effet sans trop de difficultés se connecter à votre compte et siphonner toutes vos cryptomonnaies.

metamask_phishing3
Le site vous demande de fournir votre phrase secrète : il ne faut surtout pas le faire. // Source : Capture d’écran Numerama

Une fois les derniers renseignements donnés, le site nous informe que la réinitialisation a bien eu lieu, et nous invite à nous reconnecter à notre compte, en nous renvoyant cette fois-ci vers le vrai site de Metamask.

Que faire si vous avez cliqué sur le lien ?

Si vous avez simplement reçu ce mail, vous n’avez pas à vous soucier outre mesure. Cela signifie tout de même que les escrocs ont réussi à mettre la main sur votre adresse mail, probablement présente dans une base de données qui a fuité. Restez donc attentifs : vous allez peut-être à nouveau recevoir des phishings, comme ceux imitant Darty ou bien le service de carte tickets restaurants Swile. Cependant, si vous avez cliqué dessus, vous avez peut-être quelques précautions à prendre.

  • Si vous avez seulement ouvert le lien présent dans le mail, pas de crainte à avoir : vous ne risquez rien.
  • Si vous avez rempli le formulaire avec votre adresse mail et les derniers chiffres de votre numéro de téléphone, méfiez-vous particulièrement des emails et appels que vous allez recevoir dans les jours à venir, qui pourraient être de nouvelles tentatives de phishing. De manière générale, même si vous ne recevez rien qui sorte de l’ordinaire dans les jours qui viennent, il vaut toujours mieux être sur ses gardes.
  • Si vous avez renseigné votre phrase secrète, il vous faut tout de suite vous connecter et récupérer vos cryptomonnaies avant qu’elles ne soient volées par les auteurs du phishing. Si vous avez un autre portefeuille crypto, n’hésitez pas à transférer vos possessions sur celui-ci.