Chrome Web Store : un faux wallet Ethereum siphonne les fonds des utilisateurs

Updated 13 heures ago by Emmanuel Roux · 4 mins read

Un simple clic sur le Chrome Web Store suffit aujourd’hui à mettre en danger tout un portefeuille crypto.

Un faux wallet propulsé par l’algorithme de Google

Le plus inquiétant n’est pas seulement le code malveillant, mais la façon dont il se cache à vue d’œil. Lorsque l’on tape « Ethereum Wallet » dans le Chrome Web Store, Safery apparaît en quatrième position, juste derrière de vrais portefeuilles comme MetaMask, Wombat ou Enkrypt.

Pour un utilisateur pressé, voir l’extension aussi bien classée suffit souvent à lever toute méfiance.

🚨 A fake Ethereum wallet called “Safery” is still up on the Chrome Web Store.

It steals your seed phrase by hiding it in Sui wallet addresses and sending tiny blockchain payments.

Looks safe. Isn’t. Read here ↓ https://t.co/cIatzv6IdC

— The Hacker News (@TheHackersNews) November 13, 2025

L’extension reprend en effet tous les codes habituels d’un wallet de navigateur. Elle propose de créer un nouveau portefeuille ou d’en importer un existant, parle de « gestion simple et efficace des actifs Ethereum » et emprunte un vocabulaire rassurant autour de la sécurité.

Pour beaucoup, cela suffit à cliquer sur « Ajouter à Chrome » sans creuser davantage. C’est à ce moment précis que la vulnérabilité s’installe, avant même que le premier token ne soit déposé.

Un backdoor imaginaire pour voler votre phrase secrète

Techniquement, Safery ne se contente pas d’envoyer votre seed phrase en clair vers un serveur obscur. Le schéma est plus subtil. Lorsqu’un utilisateur crée ou importe un wallet, l’extension prend la phrase mnémonique BIP-39 et la découpe pour la transformer en une série d’adresses au format Sui.

L’extension envoie alors de minuscules transactions, de l’ordre de 0.000001 SUI, depuis un wallet contrôlé par l’attaquant vers ces adresses. On ne voit donc, sur la blockchain, que des micro-transferts qui ressemblent à un bruit de fond technique.

A malicious Chrome extension, Safery: Ethereum Wallet, has been found to exfiltrate seed phrases by encoding them into Sui addresses, enabling wallet takeovers, while masquerading as a secure ETH wallet on the Chrome Web Store. #CyberSecurity #Malware https://t.co/yFcAXiB4lO

— Cyber_OSINT (@Cyber_O51NT) November 13, 2025

Pour le pirate, c’est tout l’inverse. Il lui suffit de surveiller ces transactions, de décoder les adresses destinataires et de reconstituer la seed phrase d’origine.

Une fois ce puzzle recomposé, il a accès à l’ensemble des fonds du portefeuille compromis, sans jamais avoir eu besoin d’installer un malware sur la machine ni d’envoyer une requête HTTP suspecte. Tout se passe à l’intérieur de transactions onchain qui paraissent légitimes.

Les signaux d’alerte que les utilisateurs ont ignorés

Malgré sa bonne position dans les résultats, plusieurs indices trahissaient le caractère douteux de l’extension. Safery n’affichait aucun avis utilisateur, quasiment aucun historique de téléchargement, une identité graphique minimale et quelques fautes dans les textes de présentation.

Pour un projet censé gérer des fonds, l’absence de site officiel ou de page de documentation sérieuse aurait dû faire tilter plus d’un utilisateur.

Autre détail révélateur, le développeur référencé utilisait une simple adresse Gmail comme contact, sans structure légale affichée ni lien vers un dépôt GitHub clairement identifié.

Ce genre d’incohérences ne prouve pas à lui seul la malveillance, mais il devrait suffire à pousser à chercher davantage d’informations avant de confier une seed phrase.

Reprendre de bonnes pratiques d’hygiène crypto

L’affaire Safery rappelle une règle de base que l’euphorie de marché fait souvent oublier : un wallet n’est pas un plugin comme un autre.

Avant d’installer une extension, il faut vérifier son ancienneté, le volume d’avis, la cohérence de la communication et l’existence d’une identité claire derrière le projet. Une extension inconnue, sans historique, sans site officiel digne de ce nom, ne devrait jamais recevoir une seed phrase.

Enfin, la règle d’or reste la séparation des usages. Un navigateur saturé d’extensions, utilisé pour tester des dApps ou cliquer sur des liens inconnus, n’est pas le bon endroit pour gérer un portefeuille principal.

https://x.com/AnonOzzyDude/status/1989011963997753736?

Les fonds à long terme devraient donc rester sur des solutions de self-custody éprouvées, idéalement avec hardware wallet et environnement dédié, loin de toute extension expérimentale.

Pour en savoir plus sur les bonnes pratiques de sécurité des portefeuilles crypto, consultez le guide de sécurité officiel MetaMask.

Un faux wallet capable de se hisser aussi haut dans les résultats du Chrome Web Store prouve que les filtres des plateformes ne suffisent pas. Le dernier rempart reste toujours le même : la vigilance de l’utilisateur et une méfiance systématique dès qu’une seed phrase est en jeu.

À lire aussi :