Le WiFi public reste un angle mort pour beaucoup d’utilisateurs crypto. Une connexion banale d’un utilisateur a ouvert une porte à des manipulations invisibles, jusqu’à pousser un wallet à valider une autorisation risquée.
Une seule approbation peut vider un wallet crypto
Dans un hôtel, un utilisateur crypto a perdu environ 5 000 dollars après s’être connecté à un WiFi ouvert et avoir validé une simple demande d’approbation. Il n’y avait aucun lien de phishing évident ni aucune seed phrase tapée dans un faux site. Juste une suite de petits gestes banals qui, mis bout à bout, ont suffi à vider un hot wallet.
Le plus dérangeant, c’est le côté ordinaire de la scène. Trois jours de séjour. Un portail captif sans mot de passe. Un peu de travail, un peu de réseaux sociaux, un coup d’œil aux soldes. Puis, plus tard, un wallet qui se retrouve à zéro.
Le WiFi public n’est pas maléfique par nature. Il est juste pratique. Et la praticité attire les attaques opportunistes. Les cybercriminels adorent les environnements partagés, parce que la frontière entre divers trafics devient floue, surtout quand personne ne verrouille la porte.
Sur un réseau ouvert, vous entrez dans une pièce où tout le monde respire le même air. Dans le cas raconté par la victime, le WiFi de l’hôtel fonctionnait via un portail captif sans mot de passe. À ce stade, beaucoup baissent la garde, parce que l’écran “Conditions d’utilisation” donne une illusion de cadre.
Le détail “hors ligne” qui change tout
La victime n’a pas seulement utilisé un WiFi ouvert. Elle a aussi pris un appel dans le lobby en parlant de crypto. C’est là que l’histoire devient presque banale, au mauvais sens du terme : l’attaque ne démarre pas toujours derrière un clavier. Elle peut démarrer avec une oreille attentive.
Selon l’analyse rapportée, cette conversation aurait permis à l’attaquant d’identifier la cible comme “impliquée dans la crypto” et de deviner le type de configuration. Dans ce cas, il est question de Phantom sur Solana, sans que le wallet en lui-même soit compromis côté fournisseur.
Le moment clé arrive au moment d’un swap sur une interface DeFi considérée comme légitime. D’après Hacken, le code injecté aurait remplacé ou “accroché” une demande wallet. Pas un transfert direct, mais une permission. Et c’est précisément ce qui piège beaucoup d’utilisateurs.
Ce type d’attaque est souvent décrit comme de l’“approval abuse”. L’attaquant ne vole pas la clé privée. Il obtient une autorisation persistante, puis il attend. Parfois quelques jours. Parfois plus. Ensuite, il exécute le transfert quand la vigilance est retombée et que la victime a changé de lieu ou de réseau.
Sur son portefeuille, SOL, tokens et même NFTs ont été déplacés vers une autre adresse après le départ de l’hôtel, selon le témoignage cité. Le fait que ce soit un hot wallet secondaire a limité la casse. Mais la mécanique reste la même, et elle peut s’appliquer à bien plus gros.
La première règle est mentale quand vous voyagez avec un wallet crypto est de considérer tout réseau public comme hostile. Et donc, pour toute interaction wallet, le partage de connexion mobile est souvent plus sain qu’un WiFi ouvert. À défaut, un VPN réputé ajoute une couche de chiffrement utile, et l’usage systématique de HTTPS réduit les fuites les plus grossières.
