Cybersécurité : comment l'univers des cryptomonnaies peut-il s'inspirer de la finance traditionnelle ?

OneSpan Team,

Le monde des cryptomonnaies ne cesse de faire des vagues. Leurs valorisations montent en flèche aussi soudainement qu’elles ne s’écroulent, au gré de leur popularité, des répressions gouvernementales et des injonctions d’Elon Musk. En parallèle, certaines institutions financières ont commencé à échanger des crypto-actifs, de nombreuses banques centrales – dont la Banque de France – travaillent à la mise en circulation de leurs propres monnaies numériques.

Les développements pour le moins captivants de cet univers ont été ponctués par des cyberattaques régulières. Des chiffres récents montrent l’ampleur de la menace qui pèse sur les échanges de cryptomonnaies, les piratages et fraudes ayant atteint des niveaux records en 2021. En France, plusieurs lois encadrent la gestion de la cybersécurité dans le secteur financier, et garantissent l’utilisation des ressources nécessaires pour s'adapter aux évolutions des cybermenaces. Les banques et institutions financières sont tenues de respecter des normes de sécurité exigeantes – ce qui n’est pas encore le cas des sociétés cryptomonnaies, qui demeurent peu réglementés en termes de sécuriser des échanges et du stockage de crypto-actifs. De nombreux défis attendent donc le monde des cryptomonnaies en termes de sécurité : comment peut-il s’inspirer du secteur financier traditionnel ?

Adopter et adapter de nouvelles méthodes d’authentification forte

Toute innovation technologique s'accompagne inévitablement d'un risque en matière de cybersécurité. Chaque nouvelle façon d'échanger, de stocker ou de monétiser des crypto-actifs ouvre une porte que les hackers peuvent exploiter. Cela ne signifie pas pour autant que les cryptomonnaies soient condamnées à un avenir marqué par les cyberattaques : la plupart des hacks liés aux cryptomonnaies sont en réalité similaires aux hacks bancaires classiques, tels que les fraudes à la carte bleue ou le phishing. Une série de mesures pratiques qui peuvent donc être mises en place rapidement pour protéger les transactions.

Si l’on prend l’exemple du piratage de Coinbase en août dernier, la cause du hack était simple, et donc relativement facile à prévenir à l'avenir. Selon les experts, il s'agissait d'un "échange de cartes SIM" : les hackers ont compromis les numéros de téléphone mobile des victimes, et les ont utilisés pour s'authentifier en tant que titulaire d'un compte valide. Pendant de nombreuses années, la fraude par échange de cartes SIM était une méthode couramment utilisée par les hackers pour accéder aux comptes bancaires de consommateurs peu méfiants. En conséquence, de nombreuses banques et institutions financières cessent graduellement d’utiliser les SMS comme forme d’authentification.

Au lieu de cela, la plupart d’entre elles utilisent désormais des notifications PUSH mobiles, vérifiant les identités des clients à l'aide d'une application mobile sécurisée. Ces applications utilisent les dernières technologies de vérification d'identité – telles que l'IA, la biométrie et la détection de mouvement – pour s'assurer que l'accès ne puisse être obtenu que par le propriétaire du compte. À l'avenir, les sociétés de cryptomonnaies devront s’inspirer de ces pratiques d'authentification des utilisateurs pour endiguer le flux de piratages, mais également encadrer davantage leurs processus de vérification des utilisateurs.

S’engager dans le cadre réglementaire de vérification des utilisateurs

Contrairement aux cas de fraudes bancaires en ligne, il est extrêmement difficile pour les plateformes de cryptomonnaies d'atténuer les conséquences d’un hack, puisque les transactions en cryptomonnaies sont irréversibles et ne peuvent être remboursées que par le destinataire. Ainsi, lorsqu'un piratage se produit, les fonds sont généralement perdus pour toujours. En outre, les réseaux cryptographiques reposent généralement sur un pseudo-anonymat, les utilisateurs n'étant identifiés que par une chaîne de lettres et de chiffres aléatoires qui forment leur « adresse ». S’ils ne revendiquent pas l’attaque, il est donc très difficile d'identifier les auteurs d'un piratage. Enfin, du fait de la décentralisation des réseaux, il n'y a aucun moyen d'identifier les transactions effectuées ultérieurement avec des cryptomonnaies volées. À l'inverse, les banques traditionnelles sont soumises depuis de nombreuses années à une réglementation stricte en matière de connaissance du client (KYC), destinée notamment à prévenir le blanchiment d'argent.

En 2019, un tournant a été pris lorsque le Groupe d'Action Financière (GAFI) a adopté des exigences réglementaires strictes en matière de lutte contre le blanchiment d'argent et le financement du terrorisme à l'égard des prestataires de services d'actifs virtuels (Virtual Asset Service Providers), qui comprennent les échanges de cryptomonnaies. Dans la dernière révision de ces recommandations, il est indiqué que « quelle que soit la nature de la relation ou de la transaction, les pays doivent s'assurer que les VASP ont mis en place des procédures efficaces pour identifier et vérifier, en fonction du risque, l'identité d'un client, y compris lors de l'établissement de relations commerciales avec ce client ; […] lorsqu'ils ont des doutes sur la véracité ou l'adéquation des données d'identification obtenues précédemment » – au même titre que les banques traditionnelles. La Commission européenne a également récemment émis des propositions réglementaires sur la traçabilité des transferts des cryptomonnaies sur la traçabilité des transferts des cryptomonnaies sur la traçabilité des transferts des cryptomonnaies – le but étant d’agir sur les cybermenaces, avec une prise en compte du nombre croissant de rançons demandées sous formes de cryptomonnaies. Certains experts estiment cependant que l’impact de ces régulations sera sans doute mineur et qu’un travail à grande échelle reste à entreprendre, tant les techniques des cybercriminels en lien avec les cryptomonnaies se perfectionnent au fur et à mesure de l’évolution du secteur.

Il ne fait aucun doute que la sécurité doive être prise plus au sérieux dans l’univers des cryptomonnaies. Les enjeux sont de taille : d'une part, chaque piratage fait baisser la confiance – parfois déjà limitée – des consommateurs, actuels comme potentiels ; d'autre part, les autorités de régulation pourraient être amenés à imposer une réglementation plus intense qui endiguerait la croissance de ce secteur en pleine croissance. Si elles veulent construire et maintenir la crédibilité nécessaire pour devenir des fournisseurs de services financiers dignes de confiance, le monde des crypto-actifs doivent éviter de répéter les erreurs passées et tirer parti de l'abondance des ressources technologiques et réglementaires à leur disposition, en prenant exemple sur les structures financières traditionnelles.

people in office
Blog

Authentification avancée : un plan d’attaque pour votre pile d’authentification

Comment les banques mettent en œuvre l’authentification avancée, surmontent les réticences à investir et obtiennent l’adhésion des dirigeants.

En savoir plus

Ce blog, écrit par Benoit Grangé, évangéliste en chef de la technologie, OneSpan et publié sur le site Finyear le 5 novembre 2021.

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.