Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Plus de 10 millions de dollars volés par jour : les leçons à retenir sur la sécurité des comptes de cryptomonnaies

juin 2021 par Andrew Shikiar, Executive Director, Alliance FIDO

Si vous faites partie du nombre croissant de personnes intéressées par les cryptomonnaies, vous serez peut-être intéressé de savoir que près de 7000 personnes ont perdu plus de 80M$ entre octobre 2020 et mars 2021 - une augmentation de 1000% par rapport à il y a un an (selon la FTC). Les escroqueries comprennent de faux échanges de devises et de faux sites Web d’"investissement" vendant la devise. Plus récemment, plus de 10 millions de dollars ont été volés en diverses cryptomonnaies dans les jours précédant l’apparition télévisée d’Elon Musk au talk-show américain Saturday Night Live.

Et c’est là que le bât blesse : vous n’avez aucun moyen de protéger vos comptes contre le vol. Dans le monde des cryptomonnaies, il n’y a aucune garantie. Contrairement au monde bancaire traditionnel, il n’existe pas d’équivalent du Fonds de Garantie des Dépôts et de Résolution (FGDR) qui couvrirait les pertes éventuelles sur votre compte. Si vos actifs numériques sont volés, vous n’avez pas de chance.

Permettre un accès sécurisé à ces actifs en cryptomonnaies est absolument essentiel pour éviter le vol - qui, fin 2020, s’élevait à un peu plus de 10 M millions par jour - et/ou le verrouillage de sa fortune potentielle.

Comment s’assurer que les gens peuvent toujours accéder à leurs comptes ? Cela dépend de la manière dont les comptes sont configurés initialement, ce qui implique généralement des mots de passe ou une autre forme d’authentification basée sur les connaissances. Malheureusement, les mots de passe ne sont tout simplement pas adaptés à la sécurisation des comptes de grande valeur, car ils peuvent être facilement compromis, que ce soit par des attaques de phishing ou par un vol pur et simple. De plus, si vous disposez d’un portefeuille de cryptomonnaies peu utilisé, vous risquez d’oublier votre mot de passe initial et d’avoir du mal à le récupérer - si tant est qu’il existe un mécanisme pour le faire. L’authentification basée sur les connaissances est également confrontée à des problèmes allant du manque de mémoire (quel est mon passe-temps favori déjà ?) à la grande disponibilité d’informations "personnelles" sur le web (pour quelques dollars, vous pouvez sûrement trouver le nom de jeune fille de ma mère).

Les piratages de comptes liés aux cryptomonnaies sont de plus en plus fréquents. Il y a peu de relations de confiance préétablies entre les utilisateurs et le fournisseur d’échange ou de portefeuille. Par ailleurs, presque toutes les transactions sont finalisées en quelques minutes et difficilement réversibles. Cela n’aide pas.

Malheureusement, ces prises de contrôle utilisent un schéma très similaire à celui observé depuis des années dans le monde bancaire traditionnel : une personne malveillante essaiera d’abord de récolter puis d’utiliser les informations d’identification volées. Si cela ne fonctionne pas - disons qu’un utilisateur a protégé son compte en exigeant un second facteur par SMS - il passera aux techniques populaires pour contourner les SMS, comme l’échange de cartes SIM ou un service de relais SMS (à faible coût) qui envoie le code SMS au smartphone du pirate, ce qui lui permet de réussir la prise de contrôle du compte. Même les tokens hautement sécurisés ou les applications d’authentification dédiées sont vulnérables aux attaques d’un pirate motivé - et avec des fortunes personnelles en jeu, la motivation ne manque pas.

En outre, l’augmentation considérable du nombre d’utilisateurs de places de marché dédiées aux cryptomonnaies, associée à la nécessité d’une cybersécurité renforcée, a mis en lumière une assistance déplorable, où les utilisateurs doivent attendre des semaines, voire des mois, pour retrouver l’accès à leurs propres comptes, simplement parce qu’il leur est très difficile de prouver qu’ils sont les propriétaires légitimes.

Les meilleures pratiques d’authentification peuvent aider Alors, comment remédier à cette situation ? Grâce à une authentification de l’utilisateur basée sur des normes, résistante au phishing et au piratage de comptes (déjà intégrée dans des milliards d’appareils dans le monde et disponible pour pratiquement tous les utilisateurs avec un navigateur moderne). Plusieurs protocoles d’authentification ont été élaborés par des spécialistes de l’informatique, des paiements et des services aux consommateurs. Ils garantissent que toutes les informations d’identification sont stockées sur l’appareil de l’utilisateur, éliminant ainsi les attaques de type "machine-in-the-middle" les plus avancées.

Idéalement, il serait préférable et plus efficace que le secteur des crypto-monnaies adopte cette vision de l’authentification moderne, ainsi que plusieurs bonnes pratiques connexes, telles que :

• Normaliser les flux et les pratiques d’authentification dans les bourses de cryptomonnaies. Une meilleure authentification des utilisateurs devrait être une pratique standard pour chaque bourse, et non un facteur de différenciation concurrentiel. Si tous les principaux marchés boursiers adoptaient les meilleures pratiques du secteur pour la création, la connexion et la récupération des comptes, cela contribuerait à protéger les clients - et leurs actifs numériques collectifs.

• Exiger que les utilisateurs inscrivent plusieurs facteurs d’authentification pour aider à la récupération des comptes pour chaque échange de cryptomonnaies. Qu’il s’agisse de deux clés de sécurité, ou d’une clé de sécurité couplée à un authentifiant biométrique. Il est fortement recommandé de disposer de plusieurs clés de récupération de compte pour chaque bourse de cryptomonnaies. Cela permettra d’alléger la charge de travail de l’assistance et d’aider les utilisateurs qui perdent un appareil. Elle offrira également aux utilisateurs un choix d’options d’authentification plus fortes.

• Éliminer les options de sauvegarde et de récupération moins sûres, comme l’utilisation de SMS ou d’autres facteurs d’authentification basés sur les connaissances, contribuera également à améliorer la sécurité globale, notamment pour la récupération des comptes.

En conclusion : pour que le marché des cryptomonnaies atteigne son plein potentiel, ses échanges doivent collectivement trouver un équilibre entre l’anonymat et la confidentialité qui rendent les cryptomonnaies si uniques et la sécurité des comptes et des actifs requise. Suivre l’exemple des bourses de cryptomonnaies comme Gemini et permettre aux utilisateurs de verrouiller leurs comptes avec des standards de sécurité adaptés est un grand pas vers la protection des utilisateurs contre le phishing et autres piratages de comptes, tout en maintenant la confidentialité et la commodité.




Voir les articles précédents

    

Voir les articles suivants