Depuis 2016, plus de 11 000 plaintes ont été déposées contre Coinbase auprès des instances de protection des consommateurs américains, dont la FTC et le CFPB (CNBC, août 2021). Ces plaintes décrivent des comptes vidés par des pirates, un service client quasi inaccessible, et une plateforme incapable de répondre aux urgences de ses utilisateurs. Une enquête du site financier CNBC a mis ces défaillances en lumière à l’été 2021.

En bref

  • Plus de 11 000 plaintes ont été déposées contre Coinbase aux États-Unis depuis 2016 (FTC, CFPB).
  • La technique du SIM swap permet à des pirates de prendre le contrôle de comptes en quelques dizaines de minutes.
  • Coinbase génère 1,6 milliard de dollars de bénéfices estimés au T2 2021, tout en peinent à assurer un service client basique.
  • 125 000 utilisateurs ont reçu par erreur un e-mail les avertissant d’un piratage de leur compte.
  • Coinbase a proposé 100$ en Bitcoin à chacun des 125 000 clients concernés par la fausse alerte.
Incidents Coinbase 2021 : SIM swap, fausse alerte, plaintesFrise des principaux incidents Coinbase documentés en 2021 : fraudes SIM swap sur des comptes utilisateurs, envoi d'une fausse alerte de sécurité à 125 000 clients, plus de 11 000 plaintes depuis 2016.Coinbase - incidents documentés 2021SIM swapPrise de controledu numero de telCompte vide enquelques minutes0 remboursementFausse alerte125 000 clientsnotifies d''un hackinexistantPanique + ventesCompensation : 100$ BTC11 000+ plaintesDeposees depuis2016 aupres FTCet CFPBUSA uniquementSource : CNBC, aout 2021

Combien de plaintes ont été déposées contre Coinbase ?

Selon l’enquête menée par CNBC en août 2021, plus de 11 000 plaintes ont été déposées contre Coinbase depuis 2016 aux États-Unis. Ces plaintes ont été enregistrées auprès de la Federal Trade Commission (FTC) et du Consumer Financial Protection Bureau (CFPB). L’enquête se concentre uniquement sur les utilisateurs américains, ce qui signifie que le chiffre total à l’échelle mondiale serait probablement plus élevé.

Ces plaintes décrivent une situation similaire : des comptes Coinbase vidés par des pirates, et un service client impossible à joindre pour obtenir une aide rapide. Certains utilisateurs affirment n’avoir eu aucune nouvelle pendant plusieurs semaines après le signalement de leur compromission.

Le paradoxe est frappant. Coinbase affiche des bénéfices estimés à 1,6 milliard de dollars pour le seul second trimestre 2021, et détient environ 11% de la capitalisation totale du marché crypto. Sa puissance financière contraste avec l’incapacité apparente à fournir un service client à la hauteur.

Comment fonctionne la fraude au SIM swap ciblant Coinbase ?

La fraude SIM swap est la technique principale documentée dans les piratages de comptes Coinbase. Elle ne requiert pas de pirater Coinbase directement. Le pirate contacte l’opérateur téléphonique de la victime et demande le transfert de son numéro vers une nouvelle carte SIM. Ce changement, parfois obtenu sans justification solide, suffit à prendre le contrôle du numéro.

Une fois le numéro récupéré, le pirate peut contourner l’authentification à deux facteurs (2FA) basée sur les SMS. Il accède alors au compte Coinbase lié à ce numéro, modifie les mots de passe et transfère les fonds. Toute l’opération peut prendre moins d’une heure.

La responsabilité partagée est au coeur de ces affaires. Coinbase n’est pas en mesure de contrôler les pratiques de sécurité des opérateurs téléphoniques. Mais sa dépendance au SMS comme second facteur d’authentification, alors que des alternatives plus sûres existent (TOTP, clé de sécurité physique), constitue un choix architectural critiquable.

Coinbase a systématiquement refusé de rembourser les victimes, estimant que la compromission de leurs identifiants ne relevait pas de sa responsabilité. Cette position, juridiquement défendable, est difficilement tenable sur le plan de la relation client.

« Il n’y a aucune preuve crédible ou justifiable que la compromission de vos identifiants de connexion soit la faute de Coinbase. En conséquence, Coinbase n’est pas en mesure de vous rembourser vos pertes présumées. » - Coinbase

Qu’est-ce que la fausse alerte de sécurité envoyée à 125 000 utilisateurs ?

En 2021, Coinbase envoie par erreur un e-mail d’alerte de sécurité à 125 000 de ses utilisateurs. Ce message les informe d’une possible réinitialisation de leur mot de passe, en lien avec une modification de leurs paramètres d’authentification 2FA. Pour la majorité des destinataires, la lecture de cet e-mail équivaut à une notification de piratage de leur compte.

La réaction est prévisible : un mouvement de panique. Des ventes de cryptomonnaies sont réalisées dans la précipitation. Des utilisateurs procèdent à des manipulations inconsidérées qui provoquent des blocages effectifs de leurs comptes. Plusieurs jours s’écoulent avant que certains retrouvent un accès normal à leurs fonds.

Un e-mail de sécurité mal rédigé ou envoyé par erreur peut causer autant de dommages qu’une attaque réelle. Dans un contexte où les utilisateurs sont conditionnés à craindre le piratage, tout message d’alerte non contextualisé génère inévitablement une réaction de panique.

Pour tenter de gérer la crise, Coinbase propose une compensation de 100 dollars en Bitcoin à chacun des 125 000 utilisateurs concernés. Certains affirment ne jamais avoir reçu cette compensation. Cette somme représenterait au total un coût minimum de 12,5 millions de dollars pour la plateforme.

Comment sécuriser un compte Coinbase face aux risques de SIM swap ?

Face aux fraudes documentées, plusieurs mesures réduisent significativement le risque. La première consiste à ne pas utiliser le SMS comme second facteur d’authentification. Les applications TOTP (Time-based One-Time Password) comme Google Authenticator ou Authy génèrent des codes hors ligne, non interceptables via un SIM swap.

L’utilisation d’une clé de sécurité physique (type YubiKey) constitue le niveau de protection le plus élevé disponible. Ces dispositifs nécessitent une interaction physique pour valider chaque connexion, rendant le SIM swap totalement inopérant.

Coinbase propose également un code PIN de verrouillage de compte et une liste blanche d’adresses pour les retraits. Activer ces options ajoute des couches de vérification supplémentaires avant tout transfert de fonds.

Ces incidents de 2021 ont eu un effet positif sur l’industrie. Ils ont accéléré la migration des grandes plateformes vers des méthodes 2FA plus robustes et ont conduit plusieurs exchanges à rendre les clés de sécurité physique compatibles avec leurs interfaces.

Questions fréquentes

Comment fonctionne la fraude SIM swap sur Coinbase ?

Le SIM swap consiste à convaincre l’opérateur téléphonique d’une victime de transférer son numéro vers une nouvelle carte SIM contrôlée par un pirate. Ce numéro est ensuite utilisé pour contourner l’authentification à deux facteurs (2FA) par SMS sur Coinbase. Le pirate accède au compte, modifie les identifiants et transfère les fonds. L’opération complète peut prendre moins d’une heure.

Coinbase rembourse-t-il les victimes de piratage par SIM swap ?

Non, Coinbase a systématiquement refusé de rembourser les victimes de SIM swap, considérant que la compromission de leurs identifiants ne relevait pas de sa responsabilité directe. Cette position a été documentée par l’enquête CNBC d’août 2021. Plus de 11 000 plaintes ont été déposées contre la plateforme aux États-Unis depuis 2016 auprès de la FTC et du CFPB.

Comment protéger son compte Coinbase contre le SIM swap ?

Pour se protéger d’une fraude SIM swap, il faut remplacer l’authentification 2FA par SMS par une application TOTP (Google Authenticator, Authy) ou une clé de sécurité physique (YubiKey). Coinbase propose aussi un code PIN de verrouillage et une liste blanche d’adresses de retrait. Ces mesures rendent le SIM swap inopérant, car elles ne dépendent pas du numéro de téléphone.

Sources

Nous ajouter à vos sources préférées sur Google