Garder une longueur d’avance sur les piratages de crypto-monnaie et les risques juridiques
Plus de 14 milliards de dollars de crypto-monnaie ont été perdus à cause des cybercrimes en 2021, suivis de milliards d’autres cette année. Ces pertes stupéfiantes soulignent la nécessité de comprendre et de garder une longueur d’avance sur les menaces de sécurité et les risques juridiques auxquels l’industrie de la cryptographie est confrontée.
Types de menaces
Comme les technologies de blockchain réduisent les frictions pour la décentralisation de l’infrastructure financière et d’autres nouveaux cas d’utilisation, elles présentent également une cible attrayante pour les acteurs de la menace qui exploitent les contrôles de sécurité naissants de l’industrie en évolution.
Vol de clé privée. De nombreux détenteurs de crypto stockent leurs propres clés dans des portefeuilles chauds (logiciels) ou froids (matériel physique). Celui qui détient les clés privées contrôle l’actif cryptographique. La sécurité des clés dépend de la sécurité de la personne ou de l’entité qui les détient.
L’immuabilité de la blockchain rend les transactions en chaîne irréversibles, contrairement aux transactions du système financier traditionnel, qui reposent sur des intermédiaires d’institutions financières qui peuvent geler des fonds et annuler des transactions.
Même lorsqu’un échange tiers conserve la garde des clés au nom des utilisateurs, les pirates ont pénétré les systèmes pour emporter des fonds. En mars, par exemple, les pirates ont compromis les clés privées associées au jeu de crypto Axie Infinity et ont volé plus de 600 millions de dollars en crypto. Le département du Trésor américain a lié l’attaque au groupe Lazarus parrainé par l’État nord-coréen et a répertorié l’adresse du portefeuille utilisé pour voler des fonds dans sa liste des ressortissants spécialement désignés.
Exploitation de logiciels. Les banques traditionnelles ne sont pas étrangères aux exploits logiciels. Maintenant, les pirates se tournent vers la crypto. De nombreux piratages cryptographiques au cours de l’année dernière ont profité des vulnérabilités du code utilisé pour traiter les contrats intelligents ou les logiciels cryptographiques sous-jacents.
Dans l’attaque Poly Network, par exemple, un pirate a exploité une vulnérabilité de contrat intelligent qui lui a permis de modifier les autorisations administratives pour l’exécution de transactions blockchain, permettant le vol de centaines de millions d’actifs cryptographiques.
Escroqueries et fraudes. Les escrocs ont fraudé des dizaines de milliers de consommateurs à hauteur de plus d’un milliard de dollars en crypto depuis 2021, selon la Federal Trade Commission. Ces escroqueries offrent de fausses opportunités d’investissement, s’attaquent à ceux qui recherchent une relation amoureuse ou impliquent l’usurpation d’identité d’entreprises légitimes. Les tirages de tapis sont une autre arnaque où un créateur vendra des jetons, collectera des fonds, promettra un lancement futur, mais s’enfuira ensuite avec les fonds.
Risques juridiques et conseils pratiques
Veille réglementaire. Des actions réglementaires suite à des vulnérabilités logicielles ont été menées avec une certaine fréquence en dehors de l’industrie de la cryptographie.
Equifax, par exemple, a réglé avec la FTC, le Consumer Financial Protection Bureau et 50 procureurs généraux des États pour plus de 500 millions de dollars pour incapacité à résoudre les problèmes de vulnérabilité logicielle.
Les régulateurs se tournent désormais vers les contrôles de cybersécurité de l’industrie de la cryptographie. Le décret exécutif sur la cryptographie du président Joe Biden de mars 2022 ordonne au gouvernement de « prioriser[e] … Sécurité [and] combat[] exploitation illicite » des actifs numériques.
La FTC surveille les escroqueries cryptographiques, préfigurant des mesures d’application potentiellement à venir. Le département des services financiers de New York a récemment souligné que les contrôles de cybersécurité attendus des institutions financières traditionnelles s’appliquent aux entreprises de cryptographie sous la juridiction de DFS.
En août, l’Office of Foreign Assets Control a sanctionné le mélangeur Tornado Cash, qui aurait été utilisé pour blanchir 7 milliards de dollars de hacks cryptographiques, après avoir sanctionné Blender.io plus tôt cette année. Ces actions de l’OFAC créent des problèmes de conformité pour les entités susceptibles d’avoir interagi avec les adresses ou plates-formes de blockchain sanctionnées.
Priorisation de l’application de la loi. Les efforts du DOJ en matière de crypto cette année ont déjà abouti à sa plus grande saisie financière jamais réalisée : 3,6 milliards de dollars de crypto liés à un piratage en 2016 de l’échange de devises virtuelles Bitfinex.
Le 30 juin, le DOJ a également annoncé des accusations contre six accusés qui auraient été impliqués dans une escroquerie de tirage de tapis NFT et une offre initiale frauduleuse de pièces. Le FBI, le même jour, a ajouté la «Cryptoqueen» à sa liste des dix fugitifs les plus recherchés sur la base d’un stratagème de fraude présumé de 4 milliards de dollars impliquant «OneCoin».
À la lumière de l’accent mis sur la réglementation et l’application de la loi, les organisations seraient prudentes d’élaborer des politiques et des procédures d’enquête sur les incidents, de remédiation et d’intervention.
L’identification des risques et la documentation d’un plan d’intervention peuvent préparer une organisation à agir rapidement et efficacement lorsqu’un incident se produit. Le piratage Axie Infinity de 600 millions de dollars illustre les avantages de l’optimisation de la détection et de la réponse, car les six jours qui se sont écoulés avant la découverte de l’attaque ont entraîné des pertes supplémentaires.
En raison des difficultés rencontrées pour retracer les transactions, la coopération en matière d’application de la loi peut également porter ses fruits. Suite à la coopération des victimes, le DOJ et le FBI ont récupéré des fonds transigés via des blockchains dans le contexte des ransomwares.
La coopération du secteur privé peut aussi être utile. Il existe plusieurs outils créés par des fournisseurs et pilotés par la communauté pour signaler les piratages et les attaques cryptographiques malveillantes, et les efforts du secteur privé ont conduit à des actions policières réussies contre les pirates informatiques.
Réclamations civiles. Les incidents de sécurité exposent également les plates-formes cryptographiques à des risques de litige. Les plaideurs ont allégué que les échanges cryptographiques avaient fait preuve de négligence en n’empêchant pas les transactions de compte non autorisées ou en identifiant les produits criminels que des acteurs malveillants auraient déplacés via un échange.
Même les entreprises traditionnelles sont confrontées à des risques de litige suite à des piratages de crypto-monnaie.
Deux principaux fournisseurs de téléphonie mobile, par exemple, ont été confrontés à des cas alléguant que leur prétendue négligence avait entraîné des attaques par échange de carte SIM qui avaient volé des millions de dollars en crypto.
Points à retenir pour les entreprises de cryptographie
Les pirates engrangent des milliards de dollars de bénéfices en attaquant les organisations de cryptographie. Les régulateurs se concentrent depuis longtemps sur la répression contre les entreprises dont les protections de cybersécurité sont inadéquates et sont sur le point d’engager de telles actions dans le contexte de la crypto-monnaie.
Compte tenu du large éventail de menaces, les organisations de cryptographie devraient se concentrer sur l’établissement d’une base de processus et d’innovations solides en matière de cybersécurité.
Cet article ne reflète pas nécessairement l’opinion du Bureau of National Affairs, Inc., l’éditeur de Bloomberg Law et Bloomberg Tax, ou de ses propriétaires.
Écrivez pour nous : consignes aux auteurs
Informations sur l’auteur
Alex Iftimie est partenaire et co-président du groupe de pratique Global Risk + Crisis Management de Morrison & Foerster. Il est un ancien responsable de la sécurité nationale du ministère de la Justice. Il est basé à San Francisco.
Michel Burshteyn est associé chez Morrison & Foerster à San Francisco. Il a plaidé des affaires devant les tribunaux fédéraux et d’État de Californie, ainsi que devant les tribunaux fédéraux de New York, du Texas et de l’Ohio.