Les faux positifs des logiciels antivirus entraînent des dommages au portefeuille de chiffrement, que faire ?

Dans l'environnement Internet d'aujourd'hui, les menaces à la sécurité sont nombreuses, et l'installation d'un logiciel antivirus peut aider les utilisateurs à améliorer la sécurité de leur système. Cependant, le logiciel antivirus ne peut que réduire les risques et ne garantit pas une sécurité absolue. La lutte est un processus dynamique, et l'installation d'un logiciel antivirus n'est que la première étape pour améliorer la sécurité. En outre, le logiciel antivirus lui-même peut également entraîner des faux positifs, ce qui représente un risque supplémentaire.

Récemment, des utilisateurs ont signalé qu'après avoir utilisé un logiciel antivirus, certaines extensions de navigateur (en particulier les extensions de portefeuille de chiffrement) étaient faussement signalées comme des logiciels malveillants, ce qui a conduit à l'isolement ou à la suppression des fichiers JavaScript de l'extension, endommageant finalement le portefeuille d'extension et le rendant inutilisable.

Pour les utilisateurs de Web3, cette situation est particulièrement grave, car les extensions de portefeuille de chiffrement stockent souvent des clés privées. Si elles ne sont pas traitées correctement, cela peut entraîner une perte de données de portefeuille et même rendre les actifs irrécupérables. Par conséquent, il est essentiel de comprendre comment restaurer correctement les données d'extension isolées par erreur.

Comment traiter ?

Si vous constatez qu'un faux positif de votre logiciel antivirus a causé des dommages à l'extension de votre navigateur, il est conseillé de suivre les étapes suivantes pour la restaurer :

1. Récupérer les fichiers de la zone isolée, ne désinstallez pas l'extension.

Si vous découvrez qu'un logiciel ou une extension ne fonctionne pas, vérifiez immédiatement la "zone de quarantaine"(Quarantine) ou "historique"(History) de votre logiciel antivirus, recherchez les fichiers signalés à tort et ne supprimez surtout pas les fichiers en quarantaine.

• Si le fichier est toujours dans la zone de quarantaine, sélectionnez "Restaurer"(Restore), et ajoutez ce fichier ou cette extension à la liste de confiance pour éviter de faux positifs à l'avenir.
• Si le fichier a été supprimé, veuillez vérifier s'il existe une sauvegarde automatique ou utiliser un outil de récupération de données pour le retrouver.
• Rappelez-vous : ne désinstallez pas l'extension ! Même si l'extension est endommagée, il se peut que des fichiers liés à la clé privée de chiffrement soient toujours présents localement, ce qui permet encore une possibilité de récupération.

2. Sauvegarder et rechercher des données d'extension locales

Les données étendues sont généralement stockées sur le disque local, même si l'extension ne peut pas être ouverte, les données pertinentes peuvent toujours être trouvées pour la récupération (ID d'extension à titre d'exemple : nkbihfbeogaeaoehlefnkodbefgpgknn) :

• Référence de chemin Windows : C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Référence de chemin Mac : ~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nkbihfbeogaeaoehlefnkodbefgpgknn

Il est important de noter que si Chrome a plusieurs configurations de compte, "Default" dans le chemin peut devenir "Profile 1" ou "Profile 2". Il est nécessaire de vérifier le répertoire du profil spécifique et d'ajuster le chemin en fonction de la situation réelle. Il est conseillé de sauvegarder immédiatement le répertoire complet de l'extension cible, afin de pouvoir le restaurer en cas de problème.

3. Méthode de récupération brutale : écraser le répertoire d'extension local

Si un faux positif entraîne des dommages à l'extension, la méthode la plus directe consiste à remplacer les données d'extension sauvegardées directement dans le répertoire d'extension correspondant au chemin local sur un nouvel ordinateur ou dans un nouvel environnement de navigateur, puis à rouvrir le programme d'extension.

4. Méthodes de récupération avancées : déchiffrement manuel des données de clé privée

Si l'extension ne s'ouvre toujours pas ou si des données sont manquantes, vous pouvez essayer une méthode de récupération plus avancée, c'est-à-dire déchiffrer manuellement les données de la clé privée pour récupérer. Prenons l'exemple de MetaMask :

• Recherchez l'ID de l'extension MetaMask sur l'ordinateur local, trouvez le répertoire suivant : C:\Users[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Ce répertoire peut contenir des fichiers ldb/log, qui stockent des données de clés privées chiffrées. Vous pouvez utiliser l'outil de décryptage Vault officiel de MetaMask pour déchiffrer. copier le contenu chiffré du fichier ldb/log

Si l'extension MetaMask peut toujours ouvrir certaines pages (comme chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html), vous pouvez essayer d'exécuter le code suivant pour obtenir les données de chiffrement de la clé privée :

javascript chrome.storage.local.get('données', résultat => { var coffre = result.data.KeyringController.coffre; console.log(vault); });

Ensuite, copiez les données du coffre dans l'outil de décryptage de MetaMask Vault pour les déchiffrer.

5. Écrire un outil de récupération personnalisé

Si les méthodes ci-dessus ne permettent pas de récupérer les données du portefeuille, l'utilisateur peut écrire un script pour extraire les données de stockage étendu à partir du fichier de base de données local, puis procéder au chiffrement. Ici, en prenant PhantomKeyRetriever comme modèle, les principes fondamentaux et la mise en œuvre d'outils de récupération de portefeuille différents sont décrits ci-dessous :

Les plugins de portefeuille stockent généralement des données sensibles dans la base de données ou les fichiers du système local. Les portefeuilles d'extension de navigateur (comme Phantom, MetaMask, etc.) utilisent l'API de stockage fournie par le navigateur pour conserver les données chiffrées dans la zone de stockage local du navigateur, généralement dans des systèmes de base de données tels que LevelDB ou IndexedDB. Peu importe le type de portefeuille, un principe clé est que les données sont toujours stockées sous forme chiffrée, garantissant que même si les données sont copiées, elles ne peuvent pas être accessibles sans le bon mot de passe.

La plupart des Portefeuilles de chiffrement adoptent une architecture de chiffrement multicouche pour renforcer la sécurité. Tout d'abord, le mot de passe principal de l'utilisateur est utilisé pour chiffrer une clé intermédiaire (généralement appelée "clé de chiffrement" ou "clé de déchiffrement"). Ensuite, cette clé intermédiaire est utilisée pour chiffrer la clé privée réelle ou la phrase mnémotechnique. Cette conception signifie que même si le code de l'application de Portefeuille est altéré, l'attaquant doit connaître le mot de passe de l'utilisateur pour obtenir la clé privée. Ce design multicouche permet également à l'application de Portefeuille de ne déchiffrer que la clé intermédiaire après que l'utilisateur s'est connecté, sans avoir à entrer à nouveau le mot de passe principal à chaque opération.

Le processus de création d'un outil de récupération de Portefeuille comprend généralement :

• Localiser et extraire des données de chiffrement (lire des données à partir de LevelDB/IndexedDB).
• Analyser la structure des données, identifier les clés privées/phrases mnémoniques chiffrées.
• Demander à l'utilisateur d'entrer le mot de passe du Portefeuille, puis de calculer la clé de déchiffrement via KDF (comme PBKDF2 ou Scrypt).
• Décrypter la clé intermédiaire, puis déchiffrer la clé privée/mnémonique.

Ce processus nécessite une compréhension précise des schémas de chiffrement et des formats de stockage de données du Portefeuille, ce qui nécessite généralement d'obtenir des informations par rétro-ingénierie ou en analysant le code source ouvert du Portefeuille.

En ce qui concerne l'outil PhantomKeyRetriever, il s'agit d'un script spécialement conçu pour extraire les mots de passe ou les clés privées du portefeuille Phantom à partir des données du navigateur Chrome, dont le principe fondamental est le suivant :

• Lire la base de données LevelDB de Chrome, copier les données pertinentes dans un répertoire temporaire.
• Parcourir la base de données à la recherche des clés de chiffrement et des informations sur les graines de portefeuille stockées dans le portefeuille Phantom.
• L'utilisateur saisit le mot de passe Phantom, le script utilise PBKDF2/Scrypt pour calculer la clé de déchiffrement.
• Décrypter les données du coffre-fort du portefeuille, extraire la phrase mnémotechnique BIP39 ou la clé privée Base58.

Dans ce processus de double chiffrement, le script prend en charge deux fonctions de dérivation de clés, PBKDF2 et Scrypt, et utilise la bibliothèque NaCl pour le déchiffrement sécurisé avec SecretBox. Finalement, en fonction du type de données déchiffrées, le script générera des mots de passe selon la norme BIP39 ou extraira une clé privée encodée en Base58.

Il convient de noter que d'autres navigateurs prenant en charge les portefeuilles extensibles (comme Edge, Firefox) fonctionnent selon des principes similaires, et nous n'en parlerons pas davantage ici.

Comment prévenir ?

Pour réduire le risque de faux positifs, les utilisateurs peuvent prendre les mesures suivantes :

• Sauvegardez régulièrement les fichiers importants et les données des extensions de navigateur afin de pouvoir les restaurer rapidement en cas de faux positifs.
• Ajoutez manuellement des règles de confiance dans le logiciel antivirus. Pour les logiciels ou extensions importants (comme MetaMask), vous pouvez les ajouter manuellement à la liste de confiance pour éviter les faux positifs.
• Utilisez les canaux officiels pour télécharger le logiciel, afin d'éviter d'installer des applications non officielles ou modifiées, réduisant ainsi le risque d'être signalé comme une menace potentielle par un logiciel antivirus.

Résumé

La lutte contre les menaces est toujours en constante évolution, et les stratégies de sécurité doivent également être ajustées en permanence. Installer un logiciel antivirus est certes important, mais au final, l'utilisateur est la dernière ligne de défense de ses actifs. En cas de faux positif, l'utilisateur doit traiter la situation calmement, éviter de supprimer directement des fichiers clés et utiliser des moyens de récupération appropriés. Ce n'est qu'en maîtrisant les bonnes connaissances en matière de sécurité que l'on peut réellement garantir la sécurité de ses données.