Étude Les infrastructures blockchains sont continuellement transformées et enrichies par de nouvelles fonctionnalités et modules – smart contracts, Oracle, sidechains, L2 et bridges - qui sont les briques de base de l'écosystème Web3. Si les fondations des blockchains publiques majeures sont considérées comme robustes aux attaques, les modules complémentaires, les langages de programmation, les couches additionnelles et les applications le sont souvent beaucoup moins.
Des attaques majeures ont récemment ciblé des applications décentralisées de la DeFi (Decentralized Finance) et des ponts entre les blockchains, entraînant d'énormes pertes.
Les entreprises qui souhaitent adopter le Web3 pour développer leurs activités doivent faire face de manière proactive aux risques de cybersécurité associés.
Le nouveau modèle d’Internet Web3 apporte, en plus de la lecture et de l’écriture, la notion de propriété sur Internet, donnant une valeur aux objets numériques grâce aux cryptoactifs et à la technologie blockchain.
Malgré les bases de sécurité solides des technologies blockchains, le Web3 n'est pas à l'abri des attaques d'acteurs malveillants. Au cours du seul premier trimestre de cette année, l'industrie crypto a subi plus de 1,2 milliard de dollars de pertes en raison d'attaques contre des projets DeFi.
Que visent les attaquants ?
Le développement d'architectures Web3 complexes avec des fonctionnalités supplémentaires apporte de nouvelles vulnérabilités et des surfaces d’attaque étendues. Les smart contracts notamment peuvent contenir des failles ou défauts de conception.
De nombreux outils de sécurité, comme Slither, Mythril, Echidna ou Certora, ont été conçus aujourd’hui pour aider les développeurs Web3 à écrire du code sécurisé et les auditeurs à l’analyser. Ils couvrent la plupart des différentes approches d'analyse de l'audit de code (respectivement l’analyse statique, l’exécution symbolique, le fuzzing ou la vérification formelle).
Ces outils ne remplacent pas les connaissances et l'expérience sur le développement des smart contracts et les vulnérabilités typiques :
Selon Trail of Bits, environ 78% des failles les plus importantes auraient probablement pu être détectées à l'aide d'outils d'analyse automatisés.
Près de 50% des failles identifiées par des auditeurs ne seront probablement pas été trouvées en pratique par des outils automatisés .
Ainsi, l'intervention de spécialistes de l’audit de code de smart contract est donc incontournable.
Pour limiter les risques de piratage, la plupart des projets crypto choisissent de faire auditer le code de leur smart contract avant de le déployer. Ils peuvent le faire en sollicitant des cabinets d'audit de sécurité cryptographique, des chercheurs indépendants ou encore des programmes de bug bounty. Un programme de bug bounty offre une récompense à quiconque identifie une erreur ou une vulnérabilité dans un programme informatique qu'une entreprise souhaite tester.
Entre le 22 octobre 2021 et le 22 avril 2022, l’entreprise d’assurances Sherlock a mené une étude de six mois sur les projets de cryptomonnaies dont la valeur totale bloquée était de 10 millions de dollars ou plus. Au total, 339 projets de cryptomonnaies ont été identifiés et caractérisés comme suit.
(Source : Jack Sanford, CEO de Sherlock, entendu à Secureum TrustX 2022)
Auditer le code d’un smart contract nécessite une expertise hautement pointue en raison des spécificités des langages et des machines virtuelles utilisées pour écrire et exécuter les smart contracts. Aujourd’hui, le nombre d’experts effectuant des audits de code source crypto est limité, avec une population estimée par KPMG entre 1 000 et 1 500 personnes dans le monde.
De nombreuses entreprises ont lancé des projets Web3, y compris l'achat ou la vente de cryptos ou de NFT. Le périmètre de sécurité crypto est radicalement différent de la cybersécurité traditionnelle. Le RSSI semble être l’acteur le plus approprié pour sécuriser les actifs et les opérations d’une entreprise sur le Web3 et aider ainsi les différentes parties prenantes à minimiser les risques d’attaques.
En premier lieu, il devra aider les membres des équipes opérationnelles et support qui gèrent des crypto-actifs à sécuriser les portefeuilles, en suivant des procédures strictes pour ne pas être victime de multiples formes d’attaques.
Il accompagnera également les équipes projet Web3 dans l’identification et la réduction des risques d’attaques sur les crypto-actifs (cartographie des acteurs externes et internes, analyse des risques, sécurisation des tiers, etc.).
Enfin, à mesure que de plus en plus de projets Web3 sont lancés et atteignent la phase de production, le RSSI devra adapter les référentiels (politiques de sécurité de l’information, procédures de gestion des cyberisques, etc.) ainsi que les outils de cybersécurité.
Le Web3 devra faire face à d'autres problèmes de cybersécurité à l'avenir. Parmi les sujets à surveiller figurent la sécurité dans les couches 2 et les ordinateurs quantiques.
journal du net | 11 Septembre 2023
L'IA Act présente beaucoup plus d'exigences que le RGPD (réservé aux abonnés)
Le Monde du Chiffre | 05 juillet 2022
Etude KPMG : la blockchain et les cryptos à l’épreuve des cyberattaques
BFM Crypto | 01 juillet 2022
Des failles dans les blockchains bitcoin et ethereum ? Un rapport met en doute leur caractère décentralisé
Option Finance | 01 juillet 2022
Un écosystème vulnérable aux cyberattaques
L’Eclaireur Fnac | 30 juin 2022
Cryptomonnaies : les piratages ont déjà coûté plus d’un milliard de dollars en 2022
KPMG France, leader de l’Audit et du Conseil, révèle les résultats de son étude Cybersecurity for Blockchain and Cryptos 2022 qui dresse un état des lieux des vulnérabilités dans l’écosystème blockchain et cryptos, à l’heure du développement exponentiel de la finance décentralisée, dont le montant total de fonds investis représente 10,6% de l'ensemble du marché des cryptomonnaies.
