Comment éviter le risque de perte d'actifs si le portefeuille de chiffrement du navigateur est endommagé ?

Dans l'environnement Internet actuel, diverses menaces à la sécurité émergent sans cesse. Installer un logiciel antivirus peut aider les utilisateurs à se protéger contre les programmes malveillants et à améliorer la sécurité du système. Cependant, un logiciel antivirus ne peut que réduire les risques et ne garantit pas une sécurité absolue. La lutte est un processus dynamique, et l'installation d'un logiciel antivirus n'est que la première étape pour améliorer la sécurité. Parallèlement, le logiciel antivirus lui-même peut également présenter des cas de faux positifs, entraînant des risques supplémentaires.

Récemment, des utilisateurs ont signalé qu'après avoir utilisé un logiciel antivirus, certaines extensions de navigateur (en particulier les extensions de portefeuille de chiffrement) étaient faussement signalées comme des logiciels malveillants, entraînant l'isolement ou la suppression des fichiers JavaScript de l'extension, ce qui a finalement endommagé le portefeuille d'extension, le rendant inutilisable.

Pour les utilisateurs de Web3, cette situation est particulièrement grave, car les extensions de portefeuille de chiffrement stockent généralement des clés privées, ce qui, en cas de mauvaise gestion, peut entraîner la perte de données du portefeuille, voire l'impossibilité de récupérer des actifs. Par conséquent, il est essentiel de comprendre comment restaurer correctement les données d'extension signalées à tort comme isolées.

Comment traiter ?

Si vous constatez qu'un faux positif de votre logiciel antivirus a endommagé l'extension de votre navigateur, il est recommandé de suivre les étapes suivantes pour la restaurer :

1. Récupérer des fichiers de la zone d'isolement, ne désinstallez pas l'extension

Si vous découvrez qu'un logiciel ou une extension ne fonctionne pas, vérifiez en premier lieu la "zone de quarantaine" (Quarantine) ou "historique" (History) de votre antivirus, à la recherche de fichiers signalés par erreur, n'effacez surtout pas les fichiers en quarantaine.

• Si le fichier est toujours dans la zone de quarantaine, choisissez "Restaurer"(Restore) et ajoutez ce fichier ou cette extension à la liste de confiance pour éviter de fausses alertes à l'avenir.
• Si le fichier a été supprimé, veuillez vérifier s'il existe une sauvegarde automatique ou utiliser un outil de récupération de données pour le récupérer.
• Rappelez-vous : ne désinstallez pas l'extension ! Même si l'extension est endommagée, il se peut que des fichiers liés à la clé privée de chiffrement soient toujours présents localement, et il y a encore une possibilité de récupération.

2. Sauvegarder et rechercher les données d'extension locales

Les données étendues sont généralement stockées sur le disque local, même si l'extension ne peut pas s'ouvrir, il est toujours possible de trouver des données pertinentes pour la récupération (ID d'extension à titre d'exemple d'un portefeuille connu) :

• Référence de chemin Windows : C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Référence du chemin Mac :

~/Bibliothèque/Application Support/Google/Chrome/Par défaut/Paramètres d'extension locaux/nkbihfbeogaeaoehlefnkodbefgpgknn

Il est important de noter que si Chrome utilise plusieurs configurations de compte, le chemin par défaut peut devenir Profil 1/Profil 2. Il est nécessaire de vérifier le répertoire de profil spécifique et d'ajuster le chemin en fonction de la situation réelle. Il est recommandé de sauvegarder immédiatement le répertoire complet de l'extension cible afin de pouvoir le restaurer en cas de problème.

3. Méthode de récupération brute : écraser le répertoire d'extension local

Si une fausse alerte entraîne des dommages à l'extension, la méthode la plus directe consiste à remplacer directement les données d'extension sauvegardées dans le répertoire d'extension correspondant au chemin local sur un nouvel ordinateur ou dans un nouvel environnement de navigateur, puis à rouvrir le programme d'extension.

4. Méthode de récupération avancée : déchiffrement manuel des données de clé privée

Si l'extension ne peut toujours pas s'ouvrir ou si des données sont manquantes, vous pouvez essayer une méthode de récupération plus avancée, à savoir déchiffrer manuellement les données de la clé privée pour récupérer. Prenons l'exemple d'un portefeuille connu :

• Recherchez l'ID d'extension localement sur l'ordinateur et trouvez le répertoire correspondant.
• Ce répertoire peut contenir des fichiers ldb/log, qui stockent des données de clés privées chiffrées. Vous pouvez utiliser l'outil de déchiffrement officiel Vault pour les déchiffrer.
• Étapes de déchiffrement : ouvrez l'outil de déchiffrement Vault -\u003e copiez le contenu chiffré du fichier ldb/log -\u003e utilisez le mot de passe d'origine étendu pour déchiffrer -\u003e après avoir obtenu la clé privée, réimportez le Portefeuille.

Si l'extension peut toujours ouvrir certaines pages, vous pouvez essayer d'exécuter un code spécifique pour obtenir les données de clé privée de chiffrement, puis copier ces données dans l'outil de déchiffrement Vault pour les déchiffrer.

5. Écrire un outil de récupération personnalisé

Si les méthodes ci-dessus ne permettent pas de récupérer les données du portefeuille, l'utilisateur peut écrire un script pour extraire les données de stockage étendu à partir du fichier de base de données local, puis procéder au chiffrement.

Les plugins de portefeuille stockent généralement des données sensibles dans la base de données ou les fichiers du système local. Les portefeuilles d'extension de navigateur utilisent l'API de stockage fournie par le navigateur pour conserver les données chiffrées dans la zone de stockage local du navigateur, généralement dans des systèmes de bases de données tels que LevelDB ou IndexedDB. Quel que soit le type de portefeuille, un principe clé est que les données sont toujours stockées sous forme chiffrée, garantissant que même si les données sont copiées, elles ne peuvent pas être accessibles sans le bon mot de passe.

La plupart des Portefeuilles chiffrés adoptent une architecture de chiffrement multicouche pour améliorer la sécurité. Tout d'abord, le mot de passe principal de l'utilisateur est utilisé pour chiffrer une clé intermédiaire (généralement appelée "clé de chiffrement" ou "clé de déchiffrement"). Ensuite, cette clé intermédiaire est utilisée pour chiffrer la clé privée réelle ou la phrase de récupération. Cette conception fait en sorte que même si le code de l'application de portefeuille est altéré, l'attaquant doit également connaître le mot de passe de l'utilisateur pour accéder à la clé privée. Cette conception multicouche permet également à l'application de portefeuille de ne déchiffrer que la clé intermédiaire après la connexion de l'utilisateur, sans avoir besoin de ressaisir le mot de passe principal à chaque opération.

Le processus de rédaction d'un outil de récupération de portefeuille comprend généralement :

• Localiser et extraire les données de chiffrement (lire les données à partir de LevelDB/IndexedDB).
• Analyser la structure des données, identifier la clé privée/phrase mnémonique chiffrée.
• Demander à l'utilisateur de saisir le mot de passe du Portefeuille, puis calculer la clé de déchiffrement à l'aide de KDF (comme PBKDF2 ou Scrypt).
• Déchiffrement de la clé intermédiaire, puis déchiffrement de la clé privée/mnémonique.

Ce processus nécessite une compréhension précise du schéma de chiffrement du Portefeuille et du format de stockage des données, ce qui nécessite généralement d'obtenir ces informations par ingénierie inverse ou en analysant le code source du Portefeuille.

Il convient de noter que d'autres navigateurs prenant en charge les Portefeuilles d'extension (comme Edge, Firefox) fonctionnent également selon des principes similaires.

Comment prévenir ?

Pour réduire le risque de faux positifs, les utilisateurs peuvent prendre les mesures suivantes :

• Sauvegardez régulièrement les fichiers importants et les données des extensions de navigateur, afin de pouvoir rapidement les restaurer en cas de faux positifs.
• Ajouter manuellement des règles de confiance dans le logiciel antivirus, pour les logiciels ou extensions importants, vous pouvez les ajouter manuellement à la liste de confiance pour éviter les faux positifs.
• Utilisez les canaux officiels pour télécharger le logiciel, afin d'éviter d'installer des applications non officielles ou modifiées, réduisant ainsi le risque d'être signalé par les logiciels antivirus comme une menace potentielle.

Résumé

La lutte contre les menaces est toujours en constante évolution, et les stratégies de sécurité doivent également être ajustées en permanence. Installer un logiciel antivirus est certes important, mais en fin de compte, l'utilisateur est la dernière ligne de défense de ses actifs. En cas de faux positif, l'utilisateur doit rester calme et éviter de supprimer directement des fichiers critiques, tout en utilisant des moyens de récupération appropriés. Seules des connaissances en sécurité correctes peuvent réellement garantir la sécurité de ses données.