L’innovation technologique bouleverse souvent les usages. Mais elle impacte tout aussi fréquemment la cybersécurité des personnes et des entreprises. Du Bitcoin au Métavers, ces révolutions technologiques portent leur côté obscur, réclament de nouvelles analyses de risques et font évoluer les surfaces d’attaque…

Alors que s’est récemment tenue la Journée du Bitcoin, sujet qui constitue un intérêt notable actuellement, il est clair que les pirates informatiques profitent de cette nouvelle technologie à la mode. Selon les rapports, les escrocs en crypto-monnaies ont raflé un montant record de 14 milliards de dollars en 2021. Au cours des 12 derniers mois, Check Point Research (CPR) a découvert de graves failles de sécurité au sein de grandes plateformes Web3 telles que OpenSea, Rarible et Everscale.
Check Point Research estime que des milliers de cyberattaques liées aux crypto-monnaies se sont produites en 2021 et que 40 d’entre elles ont entraîné des conséquence graves, provoquant des pertes allant de 1 à 3 millions de dollars.

A l’heure où les crypto-monnaies ne cessent de se développer et deviennent un véritable pôle d’attraction pour les cyber-acteurs, voici comment cette technologie a évolué et vers quoi elle se dirige.

2008 : Du bitcoin à la blockchain

En 2008, Satoshi Nakamoto a présenté pour la première fois le concept du bitcoin et de la blockchain. Selon cette étude, l’infrastructure de la blockchain est conçue pour prendre en charge de manière sécurisée les transactions peer-to-peer sans avoir recours à des tiers de confiance tels que les banques ou les gouvernements.

Contrairement aux systèmes centralisés, la blockchain partage les données entre les participants et permet à tout cet écosystème d’être décentralisé. Il est également beaucoup moins cher, plus rapide et plus sûr. L’ensemble du réseau Bitcoin repose sur la blockchain. Elle permet aux portefeuilles Bitcoin de gérer et de calculer les soldes de manière à ce que les nouvelles transactions puissent être vérifiées. Sa conception est publique, il n’a ni propriétaire ni contrôle et tout un chacun peut y contribuer.

2009 : Crypto-monnaies

L’écosystème décentralisé de la blockchain a inauguré l’ère des crypto-monnaies. La crypto-monnaie est une monnaie numérique, négociée sur les réseaux et ne dépend d’aucune autorité centralisée. La propriété de la monnaie est enregistrée dans un ledger (registre) numérique. On pourrait décrire un ledger comme une base de données qui sécurise les données par cryptage : elles sont toutes vérifiées, contrôlées et transférées sur une plateforme détenue par une tierce partie.

Au cours des dernières années, les prix des crypto-monnaies ont été très volatils. Le Bitcoin, première crypto-monnaie décentralisée, a été initialement publié sous forme de logiciel open-source en 2009. Depuis, plus de 10 000 réseaux de blockchain ont été créés.

2013 : Ethereum et ses smart contracts

En 2013, on a assisté à la sortie d’une nouvelle blockchain open source décentralisée dotée d’une fonctionnalité de contrat intelligent baptisée Ethereum. Vitalik Buterin a publié un livre blanc qui décrit les fonctionnalités d’Ethereum et le fonctionnement de cette plateforme d’applications décentralisées.  Dans ce document, Buterin met en cause le protocole bitcoin et le qualifie de « version fragile du concept de contrats intelligents ».

Le monde a alors découvert une toute nouvelle terminologie et un tout nouveau concept, portant l’ère financière à de nouveaux sommets avec l’utilisation des contrats intelligents (smart contracts). Ces contrats sont des programmes numériques destinés à gérer et à exécuter des événements et des actions conformément aux termes de ce qui est décrit dans le contrat.

2017 : Jetons non fongibles

En 2017, les jetons non fongibles (NFT) sont entrés en scène. Les NFT sont constitués de données numériques et peuvent être transférés par leur propriétaire, ce qui permet de les vendre et de les échanger. Ce sont en général des références à des actifs numériques tels que des vidéos, des photos ou des fichiers audios.
Chaque NFT peut être identifié de manière unique, à la différence des autres crypto-monnaies.

2018 : Offre au public de cyberjetons (ICO)

En 2018, un nouveau type de financement utilisant des crypto-monnaies a fait son apparition, l’Initial Coin Offering (ICO). Une ICO est l’équivalent en crypto-monnaies d’une introduction en bourse (IPO), un moyen de lever des fonds par le biais de crypto-monnaies. Les personnes intéressées et les investisseurs peuvent y souscrire et recevoir des jetons dont l’utilité peut être liée au produit ou au service que possède l’entreprise qui lève des fonds, ou qui représentent simplement une participation dans l’entreprise. Certaines ICO ont rapporté des bénéfices massifs aux investisseurs, mais bien d’autres se sont avérées frauduleuses ou ont donné de mauvais résultats.

Entre 2020 et 2021, le marché du NFT a connu une croissance spectaculaire. En 2021, le marché a dépassé les 17 milliards de dollars. Ethereum était la blockchain principale utilisée pour les transactions NFT.

2021 : Une révolution vers l’Internet des Valeurs

Les NFT et les contrats intelligents ont déclenché le battage médiatique autour du Web3 et du métavers. La possibilité de vendre, d’acheter et de transférer des œuvres d’art numériques identifiables de manière unique en ligne a ouvert la porte au monde virtuel dans lequel la réalité virtuelle et augmentée (VR et AR), l’art et le design numériques, les jeux et les crypto-monnaies se rencontrent, interagissent et fusionnent. On parle souvent d’« Internet des Valeurs ».

Le Web3 est la nouvelle génération du web où la blockchain et les plateformes financières décentralisées en constituent l’infrastructure de base. Le métavers est le fruit de tous ces développements dans le monde virtuel. Un monde qui se fera encore plus virtuel avec le passage aux réseaux et aux plateformes sociales basés sur la RV. Ne serait-ce qu’en 2021, Facebook (« meta ») a investi 10 milliards de dollars dans le métavers, un investissement qui devrait progresser en 2022 et dans les années à venir.

Le côté obscur de la révolution

Sur 2021, Check Point Research (CPR) à noté une augmentation du vol de crypto-monnaies de 79 % par rapport à l’année précédente, soit 14 milliards de dollars. Pourquoi les menaces liées aux crypto-monnaies se multiplient-elles ?

> Les crypto-monnaies connaissent une croissance rapide. Le développement de ces nouvelles innovations laisse souvent de la place aux vulnérabilités.

> Actuellement, on se concentre plus sur la technologie que sur la sécurité. Avec le lancement de tels projets quotidiennement, les efforts ne sont pas assez concentrés sur leur sécurisation. Le risque ici est de voir les nouvelles frontières, comme le métavers, se construire sur des bases peu sûres. Il est crucial de se concentrer davantage sur la sécurité.

> Une pénurie d’experts en sécurité. Dans cette nouvelle réalité, le domaine de la sécurité n’a pas encore totalement embrassé les principes du Web3.

La sophistication et l’ampleur des cybers attaques continueront à battre des records. Nous pouvons nous attendre à une augmentation considérable du nombre de crypto-attaques.

A l’avenir, les utilisateurs doivent rester conscients des risques liés aux portefeuilles de crypto-monnaies et rester vigilants en cas d’activité suspecte susceptible de provoquer un vol. Les pirates ne cesseront d’étendre leurs efforts afin de détourner les portefeuilles de crypto-monnaies tout en exploitant les vulnérabilités du système, comme nous l’avons vu en 2021 et en 2022.

Comment rester protégé ?

Les transactions par blockchain sont irréversibles. En blockchain, contrairement à une banque, vous ne pouvez pas bloquer une carte de crédit volée ou contester une transaction. Si vous vous faites voler les clés de votre portefeuille, vos crypto-monnaies se transforment en proies faciles pour les cybercriminels. C’est pourquoi l’utilisateur doit en permanence se soucier de sa sécurité.

Pour éviter le vol de clés, et en guise de consignes générales de sécurité, voici ce que CPR recommande :

> Ne pas ouvrir de liens suspects, surtout s’ils proviennent d’une source inconnue.

> Mettre à jour son système d’exploitation, son logiciel antivirus et son logiciel de cybersécurité.

> Ne pas télécharger de logiciels et d’extensions de navigateur depuis des sources non vérifiées.

> Avant d’approuver toute demande, les utilisateurs doivent examiner attentivement ce qui est demandé et déterminer si la requête leur semble anormale ou suspecte.

> En cas de doute, il est conseillé aux utilisateurs de rejeter la demande et de l’examiner plus en détail avant de fournir toute sorte d’autorisation.

> Il est conseillé aux utilisateurs de relire et de révoquer les autorisations de jetons sur ce lien : https://etherscan.io/tokenapprovalchecker.

___________________

Par Adrien Merveille, expert Cybersécurité chez Check Point France

 

A LIRE EGALEMENT

Selon Gartner, 1 personne sur 4 passera plus d’une heure par jour dans les métavers dès 2026.

Fermer les portes virtuelles de la cybercriminalité pour sécuriser le cloud.

Vous prendrez bien un petit métavers ?

Métavers : quel futur pour internet ?

Les DSI face au monde réel des métavers

La sécurité : le maillon manquant de la révolution DevOps…