Le nom de domaine de MyEtherWallet a été piraté

De nombreux individus rapportent que le nom de domaine de MyEtherWallet a été détourné par des pirates. L’incident serait à l’heure ou nous écrivons tout juste terminé, mais la propagation de la modification n’est pas immédiate. Plus d’une centaine de milliers de dollars ont été piratés.

Si vous êtes allés sur le portefeuille «en ligne» MyEtherWallet et que vous utilisez les DNS de Google, attention. Ces DNS redirigeraient dans certaines conditions les visiteurs vers un serveur pirate qui usurperait l’identité de MyEtherWallet.

Que s’est-il passé?

La situation concrète est encore confuse. Néanmoins, il apparait que les DNS de Google (système qui permet de faire pointer un nom de domaine vers les serveurs du site en question) auraient été détournés. Ce type d’attaques est appelé DNS hijacking.

En effet, https://myetherwallet.com redirigeait aujourd’hui pendant de longues minutes vers un serveur russe, en lieu et place du CND de CloudFront habituellement utilisé. Le certificat SSL a lui aussi été modifié.

Le pirate a, en usurpant le domaine de myetherwallet, détourné plus de 150 000 $ en ethers, comme le montre l‘adresse Ethereum utilisée. Les fonds ont ensuite été déplacés vers plusieurs autres comptes, dont certains -comptabilisant des centaines de millions de dollars- auraient été utilisés dans d’autres arnaques.

Comment savoir si vous êtes en sécurité

Risquez vous d’être piraté? Pour le savoir, vérifiez dans un premier temps que le certificat SSL est bien valide, et que MyEtherWallet Inc apparait bien en vert dans la barre de recherche. Cette étape est dans tous les cas toujours primordiale. Si ce n’est pas le cas, faites très attention.

Ce détournement n’a affecté que les utilisateurs des DNS de Google. Pour vous assurer que vous n’utilisiez pas ces DNS:

• Sur Windows: Appuyez simultanément sur la touche Windows + R. Tapez « nslookup » puis appuyez sur Ok. Si la ligne « serveur par défaut » laisse apparaitre le mot «Google», et/ou que la ligne « Address» indique 8.8.8.8 ou 8.8.4.4, alors vous utilisez les DNS de Google. Allez ici pour changer vos DNS,
• Sur Linux, utilisez la commande mn-tool
• Sur OSX, utilisez la commande scutil --dns | grep 'nameserver\[[0-9]*\]'

L’équipe de MyEtherWallet a réagi sur Twitter, en indiquant que ce piratage n’était pas de leur côté:

Couple of DNS servers were hijacked to resolve https://t.co/xwxRJ4H4i8 users to be redirected to a phishing site. This is not on @myetherwallet side, we are in the process of verifying which servers to get it resolved asap.

— MyEtherWallet | MEW (@myetherwallet) April 24, 2018