Le 31 décembre 2024, le fournisseur de portefeuilles crypto Tangem a déclaré avoir résolu un bug dans son application mobile qui collectait les clés privées de certains utilisateurs via des emails, selon nos confrères de CoinTelegraph FR. Cette faille critique a été découverte après que des utilisateurs sur Reddit ont dénoncé à plusieurs reprises le risque encouru par les investisseurs, leurs clés privées étant potentiellement exposées dans des boîtes mail ou accessibles aux employés de Tangem.

Le 29 décembre, une discussion sur Reddit au sujet des pratiques de Tangem a attiré l’attention. Un utilisateur, u/areklanga, a affirmé que le fournisseur permettait aux clés privées de rester dans l’historique des emails. Il a également ajouté que Tangem n’avait pas offert une « réaction adéquate » lorsqu’on lui avait signalé le problème plus tôt. « Les clés privées des utilisateurs restent dans l’historique des emails des utilisateurs, celui de Tangem, et peut-être dans un système de suivi des tickets, rendant ces informations accessibles aux employés de Tangem. Cela compromet tous les utilisateurs de Tangem. »

Ce qu'il faut retenir

  • Tangem a corrigé une faille critique dans son application mobile qui collectait les clés privées de certains utilisateurs via des emails.
  • La faille a été découverte après que des utilisateurs sur Reddit ont dénoncé à plusieurs reprises le risque encouru par les investisseurs.
  • Les clés privées des utilisateurs restaient dans l’historique des emails des utilisateurs, celui de Tangem, et peut-être dans un système de suivi des tickets.
  • Tangem a déclaré avoir résolu le bug et a publié une mise à jour le 30 décembre pour éviter de nouvelles fuites de phrases de récupération.
  • Les utilisateurs n’ayant pas utilisé de phrases de récupération ou n’ayant pas contacté le support via l’application ne sont pas affectés.

La correction de la faille

Tangem a reconnu le problème le 30 décembre, expliquant que l’incident résultait d’un bug dans le traitement des journaux de l’application mobile. Ce bug a été « entièrement résolu ». Voici les précisions fournies par Tangem : « Quel était le problème ? Lors de la création d’un portefeuille avec une phrase de récupération, la clé privée était enregistrée par erreur dans les journaux de l’application. Ces journaux pouvaient ensuite être accessibles lors d’interactions avec notre équipe de support. »

Une nouvelle mise à jour a été publiée sur Tangem le 30 décembre. Selon un post Reddit de l’entreprise, ce bug n’a touché qu’un petit groupe d’utilisateurs. Ceux-ci ont été contactés de manière proactive pour des mesures de précaution et un soutien : « Cela n’aurait pu affecter qu’un groupe très limité d’utilisateurs : ceux qui ont utilisé une phrase de récupération générée, puis ont immédiatement soumis une demande de support via l’application. Aucun autre utilisateur n’est concerné. »

Les conséquences de la faille

Dans une déclaration à Cointelegraph, Tangem a confirmé que la faille avait affecté moins de 0,1 % des utilisateurs dans des circonstances spécifiques. Seuls les utilisateurs ayant activé des portefeuilles avec une phrase de récupération et contacté le support dans les sept jours suivant l’activation auraient pu être concernés. Les utilisateurs n’ayant pas utilisé de phrases de récupération ou n’ayant pas contacté le support via l’application ne sont pas affectés.

« Aucune clé privée n’a été compromise, aucun fonds n’a été perdu et aucun accès non autorisé à des comptes n’a eu lieu », a déclaré Tangem dans son communiqué, répondant ainsi aux inquiétudes de la communauté crypto.

Les mesures prises par Tangem

Tangem a également confirmé dans sa réponse sur Reddit que « tous les journaux et pièces jointes envoyés à son équipe de support avaient été supprimés définitivement, garantissant qu’aucune donnée résiduelle ne subsiste. »

En réponse à cet incident, Tangem a déclaré avoir mis en place plusieurs mesures supplémentaires, notamment : des protocoles de sécurité renforcés, un programme de sensibilisation proactive pour informer les utilisateurs concernés avec des instructions claires et un support, ainsi qu’un programme de récompenses pour identifier les vulnérabilités.

Et maintenant ?

Tous les utilisateurs de Tangem sont invités à mettre à jour leur application mobile immédiatement pour éviter tout risque de fuite de phrases de récupération. Les prochaines étapes pour Tangem incluent la mise en œuvre de mesures de sécurité renforcées et la sensibilisation des utilisateurs aux meilleures pratiques de sécurité.

Les réactions de la communauté crypto restent attendues, notamment en ce qui concerne la transparence de Tangem dans la gestion de cette faille et les mesures prises pour prévenir de telles incidents à l’avenir.