Les chercheurs en sécurité tirent la sonnette d’alarme concernant une page Coinbase Commerce qui aurait incité les utilisateurs à saisir leurs phrases de récupération de portefeuille. Cet épisode a ravivé les inquiétudes selon lesquelles un processus utilisant des phrases de semence pourrait normaliser un comportement exploité couramment dans les tentatives de phishing, surtout lorsqu’il est associé à une plateforme de confiance.
Le débat a commencé après que Yu Xian, fondateur de la société de sécurité blockchain SlowMist et figure éminente dans le domaine de la sécurité, a attiré l’attention sur la page sur X. Il a questionné pourquoi une page hébergée par Coinbase demanderait des phrases mnémotechniques en clair pour la récupération d’actifs, qualifiant cette pratique de grave faille de sécurité.
Coinbase n’a pas encore expliqué publiquement l’origine de cette page, se contentant de dire qu’elle examine la situation. La société a indiqué à Cointelegraph qu’elle enquêtait sur le problème mais n’a pas fourni d’informations supplémentaires au moment de la publication. Yu Xian n’a pas répondu à la presse, et Cointelegraph n’a pas reçu de commentaire de sa part depuis le premier contact.
Dans la communauté crypto, les phrases de semence sont considérées comme les clés d’un portefeuille en auto-garde. Partager ces phrases expose les utilisateurs au risque de donner le contrôle à des attaquants, car elles donnent un accès complet aux actifs stockés dans des portefeuilles compatibles. La règle reste claire : ne jamais divulguer ses phrases de semence à des tiers, au support client ou à des sites non fiables.
Source : Yu Xian (Cos)
Coinbase a mentionné le sous-domaine comme un « outil de retrait » pour le commerce
Des membres de la communauté de détectives crypto, dont ZachXBT, ont souligné que la page était référencée dans la documentation d’aide publique de Coinbase concernant son produit Commerce. ZachXBT a noté que le guide semblait décrire une méthode permettant aux utilisateurs de récupérer des fonds en important leurs phrases de semence dans des portefeuilles compatibles comme Coinbase Wallet ou MetaMask, en pointant vers un outil de retrait hébergé sur le même sous-domaine qui a attiré l’attention.
Ce récit a été renforcé par des déclarations dans la documentation d’aide de Coinbase, qui décrit des portefeuilles en auto-garde — ce qui signifie que Coinbase n’a pas accès aux phrases de semence et ne peut pas récupérer des fonds en cas de perte. La documentation a depuis suscité des questions sur la cohérence entre ces instructions et la page qui demande la saisie de phrases de semence.
« En gros, Coinbase a une page officielle active que des acteurs malveillants pourraient utiliser pour cibler les utilisateurs via une ingénierie sociale autour des phrases de semence, s’ils le voulaient ? »
Cette phrase, partagée par ZachXBT sur X, souligne le potentiel d’un vecteur de phishing exploitant une voie officielle perçue pour la récupération de phrases de semence, si la page s’avère légitime ou mal configurée. L’incident se situe à l’intersection de l’éducation des utilisateurs, de la confiance dans la plateforme et de la complexité croissante des workflows d’auto-garde.
Pourquoi cela importe pour les utilisateurs et les développeurs
Les phrases de semence sont la pièce maîtresse de la sécurité en auto-garde. Une page qui demande de telles informations, même dans un contexte qui semble officiel, va à l’encontre des meilleures pratiques largement enseignées par les fournisseurs de portefeuilles et les chercheurs en sécurité. Pour les utilisateurs, cela augmente le risque de campagnes d’ingénierie sociale mêlant branding légitime et prompts trompeurs. Pour les développeurs et les échanges, cet épisode met en lumière un équilibre délicat : offrir des fonctionnalités de récupération et d’interopérabilité sans exposer les utilisateurs à de nouvelles surfaces d’attaque.
Les portefeuilles en auto-garde donnent aux utilisateurs un contrôle direct sur leurs clés privées et leurs phrases de récupération, mais avec ce contrôle vient la responsabilité. Si un portail de confiance semble, même accidentellement, solliciter des données mnémotechniques, les utilisateurs peuvent être tentés de répondre, surtout en période de risque ou de perte d’actifs. L’incident soulève donc des débats plus larges sur la conception de flux de récupération à la fois conviviaux et résistants à la manipulation.
Réaction de Coinbase et perspectives d’avenir
Coinbase a reconnu le problème et indiqué qu’elle enquêtait, sans fournir de détails publics. La société a déjà conseillé aux utilisateurs de ne pas coller leurs phrases de semence sur n’importe quel site et a souligné que ses portefeuilles Commerce sont en auto-garde, ce qui signifie que Coinbase ne peut pas accéder aux phrases de semence ni récupérer des fonds en cas de perte. L’épisode actuel soulève des questions sur la nature de la page : s’agissait-il d’une fonctionnalité officielle, d’une erreur de configuration ou d’une faille de sécurité dans la documentation entourant Commerce ?
Par ailleurs, Coinbase a été très vocal sur les signaux d’alerte liés au phishing et à l’ingénierie sociale, rappelant que les escrocs peuvent se faire passer pour le support client par téléphone ou en ligne pour récolter des identifiants de connexion et des codes de vérification. La société a exhorté les utilisateurs à privilégier les canaux officiels sur X et Reddit pour obtenir de l’aide. La situation en évolution laisse plusieurs incertitudes :
La page était-elle une erreur technique, un sous-domaine mal configuré ou une tentative réelle d’orienter les utilisateurs vers la récupération par phrase de semence ?
Le guide d’aide référencé reflétait-il les flux produits actuels, ou a-t-il été modifié ou supprimé suite à la pression ?
Quelles mesures Coinbase prendra-t-elle pour éviter que de telles demandes ne se reproduisent, et y aura-t-il des mises à jour de la documentation de Commerce pour clarifier les bonnes pratiques concernant les phrases de semence ?
Contexte du paysage de la sécurité
Le phishing et l’ingénierie sociale restent des risques omniprésents dans la crypto, avec des attaquants qui adaptent constamment leurs leurres autour de marques et services familiers. L’épisode OpenClaw, par exemple, a montré comment des attaquants combinent des messages autour de « tokens gratuits » avec des interfaces d’apparence authentique pour attirer les victimes. Dans ce contexte, toute fonctionnalité touchant aux phrases de semence — que ce soit dans un processus de récupération ou une importation inter-portefeuilles — doit être protégée par des mesures de sécurité rigoureuses et une éducation claire des utilisateurs. Cointelegraph a déjà souligné l’importance pour les chercheurs en sécurité de rester vigilants face à l’exposition des phrases de semence, en insistant sur la nécessité de garder ces données privées et hors ligne autant que possible.
Ce que les lecteurs doivent surveiller
Les prochains jours et semaines devraient révéler comment Coinbase résoudra les questions autour de la page Commerce et de ses références au flux de récupération. Surveillez :
Les déclarations officielles de Coinbase détaillant les résultats de l’enquête et toute modification apportée à la documentation ou aux flux utilisateur de Commerce.
Les clarifications sur la nature du sous-domaine, s’il s’agissait d’un problème opérationnel, d’une expérimentation ou d’une erreur de configuration liée à l’écosystème d’aide.
Les conseils continus des fournisseurs de portefeuilles et des chercheurs en sécurité sur les bonnes pratiques de récupération sécurisée, notamment pour les configurations en auto-garde liées aux services d’échange.
Alors que l’industrie évalue cet incident, il renforce un principe fondamental pour les utilisateurs et les développeurs : les phrases de semence restent un actif hautement sensible, et même les interfaces apparemment légitimes doivent être abordées avec prudence. L’avenir dépendra de mécanismes de récupération plus clairs, qui préservent le contrôle de l’utilisateur tout en évitant de nouvelles opportunités d’ingénierie sociale.
Cet article a été initialement publié sous le titre Coinbase Commerce prompts seed phrases, raising security concerns sur Crypto Breaking News – votre source fiable pour l’actualité crypto, Bitcoin et blockchain.
