Du champion de la vie privée à la proie du phishing : comment des hackers ont utilisé le compte X de SimpleX Chat comme arme

Tout a commencé par un tweet trop beau pour être vrai : une opportunité de devenir “utilisateur fondateur” d’un réseau de messagerie nouvelle génération, avec la promesse d’une sécurité et d’une propriété perpétuelles. Mais pour les abonnés de SimpleX Chat, une plateforme synonyme de confidentialité, c’était le début d’une campagne de phishing sophistiquée qui allait se propager dans la communauté crypto et tech. En quelques heures, une voix de confiance avait été réduite au silence, les canaux officiels détournés, et des utilisateurs sans méfiance attirés vers un piège professionnellement conçu pour voler leurs actifs numériques.

Anatomie d’un braquage sur les réseaux sociaux

Les attaquants ont exploité la fonctionnalité “délégué” de X, peu surveillée, qui permet aux comptes professionnels d’accorder des droits de publication à des tiers. En ajoutant secrètement un délégué malveillant à @SimpleXChat, ils ont contourné les contrôles de connexion habituels - et, point crucial, l’authentification à deux facteurs (2FA). L’équipe étant verrouillée à l’extérieur, et même le compte personnel du fondateur bloqué par les hackers, les attaquants ont publié un tweet faisant la promotion de “Perpetuals Early Access”. Le message promettait un accès exclusif et sécurisé, dirigeant les utilisateurs vers un clone quasi parfait de la page d’accueil de SimpleX sur simplexspot.com.

Le design du site frauduleux était méticuleux, copiant polices, couleurs, et allant jusqu’à mentionner de faux audits de sécurité pour simuler la légitimité. Le vrai indice ? Un bouton “Connecter le portefeuille” bien en évidence. SimpleX Chat, conçu pour la confidentialité et non le profit, n’a jamais exigé de connexion de portefeuille ni proposé d’incitation crypto. Mais la ruse ne s’est pas arrêtée là : plus de 30 comptes X vérifiés ont reçu des messages privés les incitant à relayer l’offre frauduleuse, et au moins deux - @Netlify et @wellowealth - ont eux-mêmes été détournés pour amplifier la portée de l’arnaque.

Conséquences et responsabilités

Le fondateur de SimpleX, Evgeny Poberezkin, a confirmé la brèche et détaillé la lutte de l’équipe pour reprendre le contrôle. Bien qu’ils aient finalement réinitialisé le mot de passe, l’accès du délégué malveillant a permis aux attaquants de rester actifs pendant des heures. La vigilance de la communauté et l’équipe de support de X ont fini par stopper l’hémorragie, mais pas avant que le tweet frauduleux ne se soit largement répandu. Les efforts pour faire supprimer le faux site se poursuivent, mais à la date de publication, il reste en ligne.

SimpleX est catégorique : il n’offre ni jetons, ni préventes, ni connexions de portefeuille. Toute telle offre est un signal d’alarme. L’équipe a appelé X à renforcer la sécurité autour de l’accès délégué, avertissant que le système actuel est propice aux abus. Pour les utilisateurs, la leçon est claire : ne faites jamais confiance aux demandes de connexion de portefeuille ou aux offres urgentes, même si elles proviennent d’un compte familier.