Le 20 juin 2025, CoinMarketCap a été la cible d’une attaque via un faux pop-up demandant de vérifier des portefeuilles. Retour sur l’incident, son origine, les réactions de sécurité, et les bonnes pratiques à adopter.
1. CoinMarketCap victime d’une attaque de phishing sophistiquée
Le 20 juin 2025, CoinMarketCap, l’un des plus grands agrégateurs de données sur les crypto-actifs, a été la cible d’une attaque malveillante. De nombreux utilisateurs ont vu s’afficher un pop-up intitulé « Verify Wallet », leur demandant de connecter leur portefeuille et de valider des jetons ERC-20.
Ce type de message est typique des tentatives de phishing, conçues pour subtiliser des fonds via des signatures frauduleuses. Heureusement, les extensions MetaMask et Phantom ont rapidement identifié l’anomalie et bloqué l’opération.
2. Origine de l’attaque : injection via les « doodles »
L’infiltration s’est produite via un script malveillant injecté dans la section « doodles » du site. Le vecteur technique : un appel API dissimulé dans une image, qui a permis d’intégrer un code JavaScript malveillant sur la page d’accueil.
Ce script déclenchait l’apparition d’un faux pop-up reprenant l’apparence d’un message authentique, poussant les utilisateurs à connecter leurs portefeuilles crypto.
3. Réaction rapide et mesures d’urgence
L’équipe de sécurité de CoinMarketCap a réagi en moins de trois heures :
- Désactivation du script compromis ;
- Avertissement public publié via leur compte officiel sur X (ex-Twitter) ;
- Renforcement des mesures de sécurité et lancement d’une enquête technique.
À ce jour, aucune perte de fonds n’a été confirmée, mais la menace était sérieuse et bien conçue.
4. Bonnes pratiques pour les utilisateurs de plateformes crypto
Pour limiter les risques, chaque utilisateur doit suivre des règles strictes :
- Ne jamais connecter un wallet via un pop-up non sollicité.
- CoinMarketCap n’a pas besoin d’un portefeuille pour afficher les données de prix.
- Utiliser des extensions sécurisées comme MetaMask ou Phantom, qui bloquent les scripts suspects.
- Vérifier l’URL du site et rafraîchir la page en cas de comportement étrange.
- Stocker les fonds importants en cold storage et réserver les hot wallets à l’usage courant.
- Activer l’authentification à deux facteurs et utiliser un gestionnaire de mots de passe.
5. Le rôle crucial des agrégateurs de données crypto
Avec plusieurs millions de visiteurs quotidiens, CoinMarketCap représente une cible de choix pour les pirates. Une simple faille dans le front-end peut devenir un vecteur de phishing massif.
Les plateformes comme CoinMarketCap ont la responsabilité de :
- Réaliser des audits réguliers du code ;
- Mettre en place des Content Security Policies (CSP) strictes ;
- Maintenir un système d’alerte réactif pour leurs utilisateurs.
6. Enjeux liés aux composants tiers
Au-delà de CoinMarketCap, les hébergeurs, CDN et plugins tiers peuvent aussi introduire des vulnérabilités. Il devient indispensable de :
- Auditer les composants externes ;
- Isoler les sections non critiques (comme les doodles) ;
- Réaliser des tests d’intrusion périodiques (pentests) ;
- Prévoir des notifications réglementaires en cas d’incident majeur.
7. Un schéma classique de phishing évolutif
Ce type d’attaque n’est pas nouveau, mais gagne en sophistication. Exemples récents :
- En 2021, fuite de 3,1 millions d’adresses e-mail utilisateurs ;
- Envoi de lettres frauduleuses au nom de Ledger (via USPS) ;
- Pop-ups de mise à jour déguisés, imitant des alertes système ;
- Techniques avancées comme l’address poisoning ou les payloads injectés sur Ethereum.
8. Conclusion : renforcer la sécurité à tous les niveaux
Cette attaque contre CoinMarketCap, bien que rapidement neutralisée, démontre la fragilité potentielle même des sites les plus fiables. La confiance peut être exploitée, et les utilisateurs restent la première ligne de défense.
Trois axes de protection :
- Côté utilisateur : éducation, outils de sécurité, séparation des portefeuilles.
- Côté plateforme : audits, CSP, transparence, architecture sécurisée.
- Côté écosystème : coopération inter-plateformes, normes réglementaires, soutien technique des experts en sécurité.
En résumé, la sécurité en crypto est une responsabilité partagée. Même les plateformes les plus réputées doivent redoubler de vigilance. Le meilleur rempart reste la combinaison de bonnes pratiques techniques et d’une vigilance constante.