Au-delà des préoccupations des régulateurs, la crypto-monnaie Balance de Facebook fait face à un autre grand défi : le risque de fraude

OneSpan Team,

Facebook a attiré l'attention par l'annonce de leur réseau de paiement basé sur la blockchain, Libra. Ce ne sera pas le premier système de paiement Facebook a lancé, mais ce qui rend la Balance de Facebook distinctif, c'est que plutôt que de transférer des euros ou des dollars, le réseau est conçu pour une nouvelle crypto-monnaie, également appelé Balance. Cette monnaie est soutenue par une réserve de devises émises à l'échelle nationale, et Donc Facebook espère qu'elle permettra d'éviter la forte volatilité des crypto-monnaies comme Bitcoin. En conséquence, La Balance ne sera pas attrayante pour les spéculateurs monétaires, mais Facebook espère qu'elle sera, par conséquent, utile pour son objectif déclaré - d'être une "simple monnaie mondiale et l'infrastructure financière qui habilite des milliards de personnes."

Réduire la volatilité des devises n'est qu'une étape vers l'atteinte de cet objectif de mise à l'échelle des crypto-monnaies à des milliards d'utilisateurs. La conception de la blockchain Balance traite de la façon dont le réseau peut maintenir le débit élevé et les faibles frais de transaction nécessaires pour concurrencer les réseaux de paiement existants comme Visa ou MasterCard. Cependant, une question qui est tout aussi importante, mais encore sans réponse est de savoir comment Facebook va développer un système d'authentification sécurisée et de prévention de la fraude qui peut atteindre des milliards d'utilisateurs tout en maintenant une bonne facilité d'utilisation et à faible coût. 

Facebook a conçu le réseau Balance, mais contrairement aux réseaux de paiement traditionnels, le réseau Balance est ouvert. N'importe qui peut envoyer des transactions via le réseau, et n'importe qui peut écrire des programmes (connus sous le nom de «contrats intelligents») qui contrôlent comment, et dans quelles conditions, les fonds peuvent se déplacer entre les comptes Balance. Pour se conformer à la réglementation anti-blanchiment d'argent, les contrôles Know Your Customer (KYC) seront effectués, mais seulement lorsque Balance entre ou quitte le réseau par le biais d'échanges. Les transactions de déplacement des fonds au sein du réseau doivent être acceptées si elles répondent aux critères énoncés dans le contrat intelligent applicable, peu importe qui les a envoyés. 

Le réseau Balance n'est même pas limité aux transactions transférant la monnaie Balance. Facebook a explicitement conçu la blockchain Balance pour faciliter la mise en œuvre de sa propre monnaie et bénéficier des mêmes facilités techniques que Facebook a conçues pour sa monnaie. D'autres blockchains ont essayé cela. Par exemple, Ethereum a engendré des centaines de devises à usage spécial. Mais la programmation d'un contrat intelligent pour la mise en œuvre d'une nouvelle monnaie est difficile et les erreurs peuvent être coûteuses. Le langage de programmation pour les contrats intelligents au sein du réseau Balance est conçu pour aider les développeurs à éviter certaines des erreurs les plus courantes.

 

La Balance de Facebook et la sécurisation du portefeuille Calibra

Il ne suffit pas de mettre en place une monnaie efficace que la technologie : la conformité réglementaire, un réseau d'échanges et la politique monétaire sont essentiels. Facebook, par la mise en place de l'Association Balance, concentre ses efforts ici uniquement sur la monnaie Balance. L'attente générale est donc, au moins initialement, la crypto-monnaie Balance sera l'utilisation dominante du réseau, et la plupart des utilisateurs vont envoyer et recevoir des fonds via l'application de portefeuille Calibra smartphone, développé par une filiale de Facebook. Du point de vue de la grande majorité du monde, le portefeuille Calibra sera synonyme de Balance de Facebook, et donc les dommages à la confiance en Calibra nuira à la réputation de la Balance dans son ensemble.

Le portefeuille Calibra sera l'endroit où Facebook doit concentrer son attention sur l'authentification et la prévention de la fraude. Son système d'authentification peut s'inspirer de la vaste expérience de Facebook sécurisant son réseau social, mais les exigences ne sont pas les mêmes. Non seulement les portefeuilles Calibra seront plus tentants pour les criminels que les comptes Facebook, mais les utilisateurs de Calibra se sentiront probablement plus fortement à l'idée de perdre leur argent qu'un compte Facebook. L'approche de Facebook pour protéger son réseau social a été de donner la priorité à l'acquisition de nouveaux utilisateurs et de faciliter la collecte et le partage de leurs données, parfois au détriment dela sécurité . Pour les portefeuilles Calibra, Facebook prévoit d'adopter une approche différente.

La protection par mot de passe pour l'accès à un portefeuille Calibra sera probablement le premier niveau de sécurité, mais ne sera pas suffisante parce que les mots de passe peuvent facilement être obtenus, par exemple en violant d'autres services où le mot de passe est réutilisé. Les solutions de rechange possibles comprennent :

  • L'authentification à deux facteurs (2FA) qui vérifie en outre si l'utilisateur possède un appareil fournirait une protection plus forte. 
  • SMS 2FA est une option pratique, mais dépend des réseaux téléphoniques d'obtenir l'accès à des cartes SIM de remplacement, et beaucoup ne le font pas
  • Le matériel d'authentification spécialisé, tel que les jetons FIDO U2F que Facebook prend déjà en charge, pourrait être une autre option. 
  • La biométrie pourrait également jouer un rôle, mais dépend d'avoir un capteur approprié disponible et ne sera donc pas une option pour chaque utilisateur. 

Aucune de ces mesures ne sera parfaite. Les mots de passe peuvent être oubliés. Les appareils peuvent être perdus. La biométrie change. Facebook devra s'assurer que le processus de récupération de ces défaillances n'introduit pas un point faible dans leur sécurité.

Missing élément de média.

Les mesures de sécurité peuvent aider à prévenir les transactions frauduleuses pour la Balance de Facebook

Les mesures suivantes pourraient contribuer à limiter le nombre de transactions Balance non autorisées : 

  • La détection de fraude permet d'identifier les activités suspectes qui passent des contrôles d'authentification, mais mérite un examen plus approfondi. 
  • La signature des transactions permet de s'assurer que les mouvements de Balance correspondent à l'intention du titulaire, même si l'interface utilisateur a été malicieusement modifiée. 
  • Les vérifications de diligence raisonnable des clients pourraient aider à bloquer l'accès des criminels au système, tout en renforçant le respect des exigences réglementaires telles que la lutte contre le blanchiment d'argent. 
  • Le risque de logiciels malveillants mobiles peut être atténué par le blindage d'applications

Ensemble, de telles mesures pourraient limiter considérablement le nombre de transactions non autorisées, mais pour faire face à ce qui reste, des contrats intelligents pourraient être développés pour révoquer les transferts litigieux.

Calibra peut faire tout cela parce qu'il s'agit d'un portefeuille de garde où Facebook s'occupe des clés cryptographiques contrôlant l'accès au compte Balance de l'utilisateur. Rien n'empêche les utilisateurs de générer leurs propres clés privées et de les relier à leur compte Balance. Toutefois, ces utilisateurs ne bénéficieront plus de la promesse de Calibrade rembourser les victimes de fraude, et ils risquent de perdre l'accès à leur compte si l'appareil qui stocke leurs clés est endommagé ou perdu. En échange, ils réduisent le risque de perdre leurs fonds en cas de compromis du système d'authentification de Calibra. Cependant, si Calibra peut maintenir une excellente réputation pour la sécurité, je m'attends à ce que relativement peu de participants penseraient que le risque de clés autogérées vaut le compromis.

Le réseau Validator 

Peu importe si Calibra s'occupe des clés ou que les utilisateurs s'occupent eux-mêmes, quelqu'un doit vérifier si une demande de transfert de fonds est signée numériquement par la clé correspondant au compte de son propriétaire, et si le contrat intelligent applicable permet la transaction . C'est le travail du réseau de validateur, qui est géré par des opérateurs avec l'autorisation de l'Association Balance. (Cette approche contraste avec les réseaux non autorisés comme Bitcoin, qui s'appuie plutôt sur les « mines » moins centralisées mais plus dommageables pour l'environnement.) 

Les validateurs De Balance travaillent ensemble pour décider quelles transactions doivent être acceptées et comment ils déplacent des fonds. Cette décision n'a pas à faire l'unanimité - à condition qu'au moins les deux tiers du réseau agissent correctement,un consensus sera atteint quant aux résultats des transactions valides reçues. Toutefois, ces vérifications de validation ne portent que sur la question de savoir si les transactions répondent aux exigences techniques, et non nécessairement si elles reflètent vraiment l'intention du détenteur légitime de fonds.

Authentification et infrastructure d'identité sécurisée 

Non seulement Calibra doit avoir l'authentification pour évaluer si quelqu'un est autorisé à envoyer de l'argent à partir d'un compte Libra particulier, mais il a également besoin d'une infrastructure d'identité sécurisée pour aider l'expéditeur des fonds à spécifier le destinataire. 

Comptes Balance ressemblent à ceci: 3ed8e5fafae4147b2a105a0be2f8197283441cfaadf93fc0868e7a0253c4a8 

Ce n'est pas pratique pour se rappeler ou même taper. Une personne peut également avoir de nombreux comptes Balance pour des raisons de confidentialité. Calibra devra intégrer un système de liaison des comptes Balance à quelque chose que les expéditeurs d'argent trouveront pratique, comme un nom ou un numéro de téléphone. Toutefois, si ce lien peut être interféré, un criminel pourrait intercepter les transferts destinés à quelqu'un d'autre. Le livre blanc décrivant l'Association Balance comprend une brève mais intrigante mention de leurs plans pour développer une norme d'identité ouverte, ce qui peut aider ici.

 

Réflexions de clôture sur la crypto-monnaie Libra de Facebook

Si la Balance atteint son objectif d'ouvrir l'accès aux paiements à bas prix aux milliards de personnes non bancarisées, les prestations sociales seront substantielles. 

Les préoccupations concernant le blanchiment d'argent et la protection de la vie privée sont actuellement au centre de l'attention des organismes de réglementation. Si ceux-ci peuvent être surmontés et Libra atteint un déploiement large, le risque de fraude sera le prochain défi de Facebook. L'authentification efficace et fiable, la prévention de la fraude et les systèmes d'identité sont d'une importance cruciale ici parce que la situation précaire de la population non-bancaire place le marché cible même de la Balance dans la position la plus faible pour se remettre des échecs de ces systèmes.

 

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.