La connexion Google à MetaMask augmente le risque de clés de portefeuille stockées dans le cloud

La dernière option de connexion de MetaMask avec les comptes Google suscite de vives inquiétudes au sein de la communauté crypto. Bien que cette mise à jour offre une certaine commodité, des utilisateurs avertissent que cette fonctionnalité pourrait mettre en danger les clés privées des portefeuilles si des pirates venaient à compromettre les comptes cloud.

La découverte qui a suscité des inquiétudes

L'alerte a été lancée par Cos, fondateur de la société de sécurité blockchain SlowMist. Dans une publication sur X, il a partagé que MetaMask permet désormais aux utilisateurs de se connecter avec Google et de synchroniser automatiquement les données du portefeuille. Cela inclut les phrases mnémoniques importées et les clés privées vers le cloud. Cos a admis que cette fonctionnalité l'avait pris au dépourvu, la qualifiant de risque de sécurité inattendu.

Il a expliqué que si un compte Google est piraté, l'attaquant pourrait potentiellement vider plusieurs portefeuilles liés via MetaMask en une seule attaque. Son avertissement a trouvé un écho dans toute la communauté crypto, car de nombreux investisseurs comptent sur MetaMask pour gérer leurs actifs basés sur Ethereum. Avec des milliards de dollars transitant par des portefeuilles en auto-garde, même la plus petite faille pourrait ouvrir la porte à des pertes dévastatrices.

Comment fonctionne le système

MetaMask a conçu sa nouvelle fonctionnalité de connexion pour faciliter l'utilisation. Au lieu de créer un portefeuille à partir de zéro, les utilisateurs peuvent en initialiser un en utilisant les identifiants Google ou iCloud. Le portefeuille chiffre ensuite et sauvegarde le fichier mnémonique dans le service cloud choisi. Le mot de passe de déverrouillage du portefeuille sert de clé de déchiffrement. Il permet aux utilisateurs d’exporter et de gérer eux-mêmes leurs sauvegardes. 

En théorie, cela facilite l'intégration des nouveaux venus qui ont du mal à stocker leurs clés privées. D'autres fournisseurs de portefeuilles expérimentent également des méthodes similaires. Par exemple, le portefeuille Base de Coinbase utilise Passkeys pour générer et stocker les identifiants. Le système les enregistre par défaut dans iCloud Keychain. Bien que cela réduise les frictions, cela transfère aussi la responsabilité de la sécurité sur des géants technologiques comme Apple et Google.

Réactions de la communauté

La nouvelle a déclenché une vague de débats en ligne. Certains utilisateurs ont souligné que les sauvegardes locales hors ligne restent l'option la plus sûre, car elles ne sont pas exposées aux piratages du cloud ou aux tentatives de phishing. Un utilisateur a commenté sans détour que compter sur les grandes entreprises technologiques pour la sécurité du Web3 semble contre-intuitif, puisque le système vise justement à la décentralisation pour réduire de telles dépendances. Cos a répondu à certaines discussions, précisant que l'approche de MetaMask n'a rien à voir avec le calcul multipartite (MPC). 

Il s'agit plutôt d'un système simple où le portefeuille lie des fichiers chiffrés aux comptes cloud. D'autres ont soulevé des questions sur les limitations, comme le fait de savoir si la fonctionnalité ne prend en charge que les portefeuilles Ethereum ou si elle pourrait s'étendre à Bitcoin. Cos a répondu que le système peut techniquement prendre en charge les deux types de portefeuilles, mais il a reconnu des lacunes dans la gestion des actifs mis en staking comme ETH.

Trouver l’équilibre entre commodité et sécurité

La situation met en lumière une tension persistante dans la crypto : trouver l’équilibre entre facilité d’utilisation, véritable décentralisation et sécurité. Pour les nouveaux venus, l’intégration au cloud abaisse les barrières et réduit le risque de perdre l’accès au portefeuille. Mais pour les utilisateurs expérimentés, l’idée de stocker des clés privées dans l’écosystème de Google ou Apple semble être un compromis dangereux. 

Cos a conclu son fil de discussion en rappelant à la communauté : n’ignorez pas les sauvegardes traditionnelles. Noter les phrases de récupération et les conserver hors ligne peut sembler contraignant, mais cela reste la référence pour protéger ses fonds. À mesure que de plus en plus de portefeuilles intègrent la connexion via le cloud, les investisseurs devront peser la commodité face au risque. Car dans la crypto, le raccourci le plus simple peut parfois mener aux plus grandes pertes.