Le fournisseur de portefeuilles crypto Tangem a corrigé une faille critique dans son application mobile qui collectait les clés privées de certains utilisateurs via des emails.

La correction est intervenue après que des utilisateurs sur Reddit ont dénoncé à plusieurs reprises le risque encouru par les investisseurs, leurs clés privées étant potentiellement exposées dans des boîtes mail ou accessibles aux employés de Tangem.

Le 29 décembre, une discussion sur Reddit au sujet des pratiques de Tangem a attiré l’attention. Un utilisateur, u/areklanga, a affirmé que le fournisseur permettait aux clés privées de rester dans l’historique des emails. Il a également ajouté que Tangem n’avait pas offert une “réaction adéquate” lorsqu’on lui avait signalé le problème plus tôt.

« Les clés privées des utilisateurs restent dans l’historique des emails des utilisateurs, celui de Tangem, et peut-être dans un système de suivi des tickets, rendant ces informations accessibles aux employés de Tangem. Cela compromet tous les utilisateurs de Tangem. »

Cet utilisateur a également affirmé que le post original mentionnant ce problème avait été « supprimé sans explication ».

Tangem corrige rapidement le bug

Tangem a reconnu le problème le 30 décembre, expliquant que l’incident résultait d’un bug dans le traitement des journaux de l’application mobile. Ce bug a été « entièrement résolu ». Voici les précisions fournies par Tangem :

« Quel était le problème ? Lors de la création d’un portefeuille avec une phrase de récupération, la clé privée était enregistrée par erreur dans les journaux de l’application. Ces journaux pouvaient ensuite être accessibles lors d’interactions avec notre équipe de support. »
Crypto : Tangem corrige une faille critique qui expose les clés privées des utilisateurs image 0

Une nouvelle mise à jour a été publiée sur Tangem le 30 décembre. Source : Google Play.

Selon un post Reddit de l’entreprise, ce bug n’a touché qu’un petit groupe d’utilisateurs. Ceux-ci ont été contactés de manière proactive pour des mesures de précaution et un soutien :

« Cela n’aurait pu affecter qu’un groupe très limité d’utilisateurs : ceux qui ont utilisé une phrase de récupération générée, puis ont immédiatement soumis une demande de support via l’application. Aucun autre utilisateur n’est concerné. »

Dans une déclaration à Cointelegraph, Tangem a confirmé que la faille avait affecté moins de 0,1 % des utilisateurs dans des circonstances spécifiques.

Seuls les utilisateurs ayant activé des portefeuilles avec une phrase de récupération et contacté le support dans les sept jours suivant l’activation auraient pu être concernés. Les utilisateurs n’ayant pas utilisé de phrases de récupération ou n’ayant pas contacté le support via l’application ne sont pas affectés.

« Aucune clé privée n’a été compromise, aucun fonds n’a été perdu et aucun accès non autorisé à des comptes n’a eu lieu », a déclaré Tangem dans son communiqué, répondant ainsi aux inquiétudes de la communauté crypto.

Le site officiel de Tangem, qui répertorie toutes les mises à jour de son application mobile, ne mentionnait pas les détails de la mise à jour du 30 décembre au moment de la publication.

Tangem a également confirmé dans sa réponse sur Reddit que « tous les journaux et pièces jointes envoyés à son équipe de support avaient été supprimés définitivement, garantissant qu’aucune donnée résiduelle ne subsiste. »

Tangem accusé de minimiser la situation

Bien que Tangem ait publié une mise à jour le 30 décembre pour éviter de nouvelles fuites de phrases de récupération, certains membres de la communauté crypto ont critiqué la réponse discrète du fournisseur. Cependant, Tangem a affirmé à Cointelegraph qu’il avait communiqué directement avec les utilisateurs concernés et géré la situation en toute transparence.

Tangem n’avait publié aucune annonce sur ses canaux officiels, notamment Twitter, Discord ou Telegram, au moment de la publication de l’article le 31 décembre. Toutefois, tous les utilisateurs de Tangem sont invités à mettre à jour leur application mobile immédiatement pour éviter tout risque de fuite de phrases de récupération.

En réponse à cet incident, Tangem a déclaré avoir mis en place plusieurs mesures supplémentaires, notamment : des protocoles de sécurité renforcés, un programme de sensibilisation proactive pour informer les utilisateurs concernés avec des instructions claires et un support, ainsi qu’un programme de récompenses pour identifier les vulnérabilités.