10 risques de sécurité NFT et crypto-monnaie que les RSSI doivent gérer


La liste des entreprises acceptant les paiements en crypto-monnaie ne cesse de s’allonger, de sorte que les clients peuvent acheter presque tout ce qu’ils veulent : appareils électroniques, diplômes universitaires et cappuccinos. Dans le même temps, le marché des jetons non fongibles (NFT) monte en flèche, de nouveaux artistes devenant millionnaires et des noms plus établis comme Snoop Dogg, Martha Stewart et Grimes capitalisant sur la tendance.

La crypto-monnaie et les NFT sont à l’ordre du jour de nombreuses organisations alors qu’elles discutent des ramifications du Web3 et des opportunités qu’il présente. Ce nouveau tournant majeur dans l’évolution d’Internet promet de décentraliser notre monde numérique, offrant aux utilisateurs plus de contrôle et un flux d’informations plus transparent.

Dans tous les secteurs, les entreprises font de leur mieux pour s’adapter au nouveau paradigme. Mais les RSSI ont une longue liste de préoccupations, à commencer par la cybersécurité et la fraude d’identité, les risques de sécurité du marché, la gestion des clés et des données et la confidentialité.

La crypto-monnaie sous quelque forme que ce soit, y compris les NFT, présente un ensemble de menaces et de problèmes de sécurité qui peuvent ne pas être familiers à la plupart des entreprises. « Cela nécessite un certain nombre de nouvelles procédures opérationnelles, crée une exposition à un nouvel ensemble de systèmes (chaînes de blocs publiques) et comporte des risques que de nombreuses entreprises sont moins habituées à gérer », déclare Doug Schwenk, PDG de Digital Asset Research.

La manière dont les RSSI envisagent ces problèmes peut affecter les utilisateurs et les partenaires commerciaux. « Les compromis ont un impact financier immédiat sur l’entreprise ou sur ses utilisateurs et/ou collectionneurs de NFT », explique Eliya Stein, ingénieur sécurité senior chez Confiant.

Ce sont les dix risques de sécurité les plus importants que les crypto-monnaies et les NFT présentent pour les RSSI.

1. L’intégration des protocoles blockchain peut être complexe

La blockchain est une technologie relativement nouvelle. Par conséquent, incorporer des protocoles de blockchain dans un projet devient un peu difficile. « Le principal défi associé à la blockchain est un manque de sensibilisation à la technologie, en particulier dans les secteurs autres que la banque, et un manque généralisé de compréhension de son fonctionnement », selon un rapport de Deloitte. « Cela entrave l’investissement et l’exploration d’idées. »

Les entreprises doivent évaluer soigneusement chaque chaîne prise en charge en termes de maturité et d’adéquation. « Adopter une [blockchain] un protocole qui en est à un stade précoce peut entraîner des temps d’arrêt et des risques de sécurité, tandis que les protocoles à un stade ultérieur ont actuellement des frais de transaction plus élevés », explique Schwenk. « Après avoir sélectionné un protocole pour prendre en charge l’utilisation souhaitée (telle que les paiements), il peut ne pas y avoir tout soutien disponible auprès du sponsor. Cela ressemble beaucoup plus à l’adoption de l’open source, où des fournisseurs de services particuliers peuvent être nécessaires pour réaliser pleinement la valeur. »

2. Les normes de propriété des actifs changent

Lorsque quelqu’un achète un NFT, il n’achète pas réellement une image, car le stockage de photos dans la blockchain n’est pas pratique en raison de leur taille. Au lieu de cela, ce que les utilisateurs acquièrent est une sorte de reçu qui les dirige vers cette image.

La blockchain ne stocke que l’identification de l’image, qui peut être un hachage ou une URL. Le protocole HTTP est souvent utilisé, mais une alternative décentralisée à cela est le système de fichiers interplanétaire (IPFS). Les organisations qui optent pour IPFS doivent comprendre que le nœud IPFS sera géré par la société qui vend le NFT, et si cette société décide de fermer boutique, les utilisateurs peuvent perdre l’accès à l’image vers laquelle pointe le NFT.

« Bien qu’il soit techniquement possible de recharger un fichier sur IPFS, il est peu probable qu’un utilisateur régulier puisse le faire car le processus est complexe », explique le chercheur indépendant en sécurité Anatol Prisacaru. « Cependant, la bonne partie est qu’en raison de la nature décentralisée et sans autorisation, tout le monde peut le faire, pas seulement les développeurs du projet. »

3. Risques de sécurité du marché

Alors que les NFT sont basés sur la technologie blockchain, les images ou vidéos qui leur sont associées peuvent être stockées sur une plateforme centralisée ou décentralisée. Souvent, par commodité, le modèle centralisé est choisi, car il permet aux utilisateurs d’interagir plus facilement avec les actifs numériques. L’inconvénient est que les places de marché NFT peuvent hériter des vulnérabilités de Web2. De plus, alors que les transactions bancaires traditionnelles sont réversibles, celles sur la blockchain ne le sont pas.

« Un serveur compromis peut présenter à l’utilisateur des informations trompeuses l’incitant à exécuter des transactions qui videront son portefeuille », explique Prisacaru. Mais consacrer suffisamment de temps et d’efforts à la bonne implémentation peut protéger contre les attaques, en particulier lorsqu’il s’agit d’utiliser une plate-forme décentralisée.

« Lorsqu’il est correctement mis en œuvre de manière décentralisée, un marché compromis ne devrait pas être en mesure de voler ou de modifier les actifs d’un utilisateur ; cependant, certains marchés prennent des raccourcis et sacrifient la sécurité et la décentralisation pour plus de contrôle », déclare Prisacaru.

4. L’usurpation d’identité et les escroqueries à la crypto-monnaie

Les escroqueries à la crypto-monnaie sont courantes et peuvent souvent faire un grand nombre de victimes. « Les escrocs restent régulièrement au courant des versions NFT très attendues et ont généralement des dizaines de sites frauduleux prêts à promouvoir en tandem avec le lancement officiel », déclare Stein. Les clients victimes de ces arnaques sont souvent parmi les plus fidèles, et cette mauvaise expérience pourrait potentiellement affecter leur perception de la marque. Ainsi, les protéger est primordial.

Souvent, les utilisateurs reçoivent des e-mails malveillants leur indiquant qu’un comportement suspect a été remarqué dans l’un de leurs comptes. Ils sont invités à fournir leurs informations d’identification pour la vérification du compte afin de résoudre ce problème. Si l’utilisateur tombe dans le piège, ses informations d’identification sont compromises. « Toute marque essayant d’entrer dans l’espace NFT gagnerait à allouer des ressources à la surveillance et à l’atténuation de ces types d’attaques de phishing », déclare Stein.

5. Les ponts blockchain sont une menace croissante

Différentes blockchains ont des pièces différentes et sont soumises à des règles différentes. Par exemple, si quelqu’un a du bitcoin mais veut dépenser de l’Ethereum, il a besoin d’une connexion entre les deux blockchains qui permette le transfert d’actifs.

Un pont blockchain, parfois appelé pont inter-chaînes, fait exactement cela. « En raison de leur nature, ils ne sont généralement pas mis en œuvre strictement à l’aide de contrats intelligents et s’appuient sur des composants hors chaîne qui initient la transaction sur l’autre chaîne lorsqu’un utilisateur dépose des actifs sur la chaîne d’origine », explique Prisacaru.

Certains des plus grands hacks de crypto-monnaie impliquent des ponts inter-chaînes, notamment Ronin, Poly Network, Wormhole. Par exemple, lors du piratage contre la blockchain de jeu Ronin fin mars 2022, les attaquants ont obtenu pour 625 millions de dollars d’Ethereum et d’USDC. De plus, lors de l’attaque de Poly Network en août 2021, un pirate informatique a transféré plus de 600 millions de dollars de jetons vers plusieurs portefeuilles de crypto-monnaie. Heureusement, dans ce cas, l’argent a été rendu deux semaines plus tard.

6. Le code doit être soigneusement testé et audité

Avoir un bon code devrait être une priorité dès le début de tout projet. Prisacaru soutient que les développeurs doivent être compétents et prêts à prêter attention aux détails. Sinon, le risque d’être victime d’un incident de sécurité augmente. Par exemple, dans l’attaque Poly Network, l’attaquant a exploité une vulnérabilité entre les appels de contrat.

Pour prévenir un incident, les équipes doivent effectuer des tests approfondis. L’organisation doit également engager un tiers pour effectuer un audit de sécurité, bien que cela puisse être coûteux et prendre du temps. Les audits proposent une revue systématique du code pour aider à identifier les vulnérabilités les plus connues.

Bien sûr, vérifier le code est nécessaire mais pas suffisant, et le fait qu’une entreprise ait fait un audit ne garantit pas qu’elle est tirée d’affaire. « Sur une blockchain, les contrats intelligents sont généralement hautement composables, et souvent, vos contrats interagiront avec d’autres protocoles », explique Prisacaru. « Les entreprises, cependant, n’ont le contrôle que sur leur propre code, et l’interaction avec des protocoles externes augmentera les risques. »

Les particuliers et les entreprises peuvent explorer une autre voie de gestion des risques : l’assurance, qui aide les entreprises à réduire le coût des contrats intelligents ou des piratages de dépositaires.

7. Gestion des clés

« Au fond, la cryptographie n’est qu’une gestion de clé privée », déclare Schwenk. « Cela semble simple pour de nombreuses entreprises, et les RSSI peuvent bien être conscients des problèmes et des meilleures pratiques.

Il existe plusieurs solutions accessibles pour la gestion des clés. L’un d’eux est les portefeuilles matériels comme Trezor, Ledger ou Lattice1. Ce sont des périphériques USB qui génèrent et stockent le matériel cryptographique sur leurs éléments sécurisés, empêchant les attaquants d’accéder à vos clés privées même s’ils ont accès à votre ordinateur, par exemple à l’aide d’un virus/porte dérobée.

Une autre ligne de défense est le multi-signatures, qui peut être utilisé avec des portefeuilles matériels. « À la base, un multi-sig est un portefeuille de contrats intelligent qui nécessite que les transactions soient confirmées par un certain nombre de ses propriétaires », explique Prisacaru. « Par exemple, vous pourriez avoir cinq propriétaires et exiger qu’un minimum de trois personnes signent la transaction avant qu’elle puisse être envoyée. De cette façon, un attaquant devrait compromettre plus d’une personne afin de compromettre le portefeuille. »

8. Formation des employés et des utilisateurs

Les organisations qui souhaitent intégrer les technologies Web3 doivent former leurs employés car de nouveaux outils sont nécessaires pour effectuer des transactions sur les différentes blockchains. « Le commerce d’actifs numériques peut sembler familier au commerce électronique traditionnel, mais les outils et les plugins de navigateur nécessaires pour maîtriser ce nouveau monde sont assez différents de ce à quoi les équipes financières sont habituées », déclare Aaron Higbee, co-fondateur et CTO de Cofense.

Alors que chaque entreprise doit s’inquiéter des attaques de phishing par e-mail, les employés qui gèrent les actifs numériques peuvent être ciblés plus souvent. Le but de la formation est de s’assurer que tous les membres de l’équipe suivent les dernières meilleures pratiques et ont une bonne compréhension de la sécurité. Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point, dit avoir remarqué « un grand manque » dans les connaissances en matière de crypto-monnaie, ce qui peut rendre les choses « un peu chaotiques » pour certaines entreprises. « Les organisations qui souhaitent intégrer les technologies Web3 doivent comprendre que ces projets doivent avoir des examens de sécurité approfondis et une compréhension de la sécurité, ce qui signifie qu’ils doivent comprendre les chiffres et les implications qui peuvent survenir », dit-il.

Certaines organisations qui ne souhaitent pas gérer les clés privées décident d’utiliser un système centralisé, ce qui les rend vulnérables aux problèmes de sécurité Web2. « Je leur demande instamment que s’ils intègrent les technologies Web3 dans leur Web2, ce doit être un projet qui aura un examen approfondi de la sécurité et des meilleures pratiques de sécurité qui doivent être mises en œuvre », a déclaré Vanunu.

9. La permanence des NFT et des applications décentralisées Web3

De nombreuses entreprises mettront fin aux produits qui ne répondent plus à leurs besoins, mais cela n’est généralement pas disponible pour les actifs adossés à la blockchain s’ils sont bien faits. « Les NFT ne doivent pas être traités comme un effort de marketing ponctuel », déclare Stein. « Si le NFT lui-même n’est pas en chaîne, il incombe maintenant à l’entreprise de le maintenir à perpétuité. Si le projet devient un succès fou, alors l’entreprise a entrepris une tâche majeure de soutien aux collectionneurs de ces NFT en ce qui concerne aux mésaventures, escroqueries, etc. »

Un projet viral est celui lancé par le gouvernement ukrainien, qui a vendu des NFT en fonction de la chronologie de la guerre. « L’endroit où garder la mémoire de la guerre. Et l’endroit où célébrer l’identité et la liberté ukrainiennes », selon un tweeter par Mykhailo Fedorov, vice-premier ministre ukrainien et ministre de la transformation numérique. Les passionnés de NFT ont réagi positivement, disant qu’ils voulaient acheter un morceau d’histoire et soutenir l’Ukraine. Cependant, ils s’attendent à ce que le projet soit maintenu.

10. La blockchain n’est pas toujours le bon outil

Les nouvelles technologies sont toujours passionnantes, mais avant de sauter le pas, les organisations devraient se demander si elles résolvent réellement le problème et si c’est le bon moment pour les adopter. Les projets basés sur la blockchain ont le potentiel de changer les entreprises pour le mieux, mais ils peuvent également épuiser les ressources, du moins dans la phase initiale.

« Peser le risque/récompense sera une partie importante de la décision, et il est essentiel de ressourcer de manière appropriée l’effort de sécurité, à la fois lors de l’adoption et en cours, », a déclaré Schwenk. « Le jugement du risque/récompense pour ces nouvelles expositions n’est peut-être pas (encore) une compétence de base, et il est facile de se laisser prendre par le battage médiatique souvent associé à la cryptographie. »

Copyright © 2022 IDG Communications, Inc.



Laisser un commentaire