cancel

Sécurité Web3 : les vulnérabilités des infrastructures blockchains en 2022

Découvrez l'étude KPMG sur les risques de cybersécurité dans l'écosystème Web3, notamment pour les projets DeFi et les ponts entre blockchains.

L'essentiel

Les infrastructures blockchains sont continuellement transformées et enrichies par de nouvelles fonctionnalités et modules – smart contracts, Oracle, sidechains, L2 et bridges - qui sont les briques de base de l'écosystème Web3. Si les fondations des blockchains publiques majeures sont considérées comme robustes aux attaques, les modules complémentaires, les langages de programmation, les couches additionnelles et les applications le sont souvent beaucoup moins.

Des attaques majeures ont récemment ciblé des applications décentralisées de la DeFi (Decentralized Finance) et des ponts entre les blockchains, entraînant d'énormes pertes.

Les entreprises qui souhaitent adopter le Web3 pour développer leurs activités doivent faire face de manière proactive aux risques de cybersécurité associés.

Envie d'en savoir plus sur les blockchains et les cryptos ? Téléchargez notre étude dès maintenant.

Le Web3 attaqué

Le nouveau modèle d’Internet Web3 apporte, en plus de la lecture et de l’écriture, la notion de propriété sur Internet, donnant une valeur aux objets numériques grâce aux cryptoactifs et à la technologie blockchain.

Malgré les bases de sécurité solides des technologies blockchains, le Web3 n'est pas à l'abri des attaques d'acteurs malveillants. Au cours du seul premier trimestre de cette année, l'industrie crypto a subi plus de 1,2 milliard de dollars de pertes en raison d'attaques contre des projets DeFi. 

Que visent les attaquants ?

Smart Contracts

Vulnérabilités de code dues à l'absence de mise en oeuvre des bonnes pratiques.

Infrastructure

Nombre limité de noeuds ou bridges crypto vulnérables.

Portefeuilles

Attaquer sur les clés privées ou seedphrases (hameçonnage, logiciels malveillants, sauvegarde volée).

Front Ends

Injection de code ou exploitation de vulnérabilités dans les interfaces Web2.

Le développement d'architectures Web3 complexes avec des fonctionnalités supplémentaires apporte de nouvelles vulnérabilités et des surfaces d’attaque étendues. Les smart contracts notamment peuvent contenir des failles ou défauts de conception. 

Comment sécuriser les smart contracts ?

De nombreux outils de sécurité, comme Slither, Mythril, Echidna ou Certora, ont été conçus aujourd’hui pour aider les développeurs Web3 à écrire du code sécurisé et les auditeurs à l’analyser. Ils couvrent la plupart des différentes approches d'analyse de l'audit de code (respectivement l’analyse statique, l’exécution symbolique, le fuzzing ou la vérification formelle).

Ces outils ne remplacent pas les connaissances et l'expérience sur le développement des smart contracts et les vulnérabilités typiques :

Selon Trail of Bits, environ 78% des failles les plus importantes auraient probablement pu être détectées à l'aide d'outils d'analyse automatisés.

Près de 50% des failles identifiées par des auditeurs ne seront probablement pas été trouvées en pratique par des outils automatisés.

Ainsi, l'intervention de spécialistes de l’audit de code de smart contract est donc incontournable.

Le marché de l’audit de sécurité cryptographique

Pour limiter les risques de piratage, la plupart des projets crypto choisissent de faire auditer le code de leur smart contract avant de le déployer. Ils peuvent le faire en sollicitant des cabinets d'audit de sécurité cryptographique, des chercheurs indépendants ou encore des programmes de bug bounty. Un programme de bug bounty offre une récompense à quiconque identifie une erreur ou une vulnérabilité dans un programme informatique qu'une entreprise souhaite tester.

Entre le 22 octobre 2021 et le 22 avril 2022, l’entreprise d’assurances Sherlock a mené une étude de six mois sur les projets de cryptomonnaies dont la valeur totale bloquée était de 10 millions de dollars ou plus. Au total, 339 projets de cryptomonnaies ont été identifiés et caractérisés comme suit.

(Source : Jack Sanford, CEO de Sherlock, entendu à Secureum TrustX 2022)

marche-audit-securite-cryptographique

Auditer le code d’un smart contract nécessite une expertise hautement pointue en raison des spécificités des langages et des machines virtuelles utilisées pour écrire et exécuter les smart contracts. Aujourd’hui, le nombre d’experts effectuant des audits de code source crypto est limité, avec une population estimée par KPMG entre 1 000 et 1 500 personnes dans le monde.

Les nouvelles responsabilités du RSSI dans l’écosystème Web3

De nombreuses entreprises ont lancé des projets Web3, y compris l'achat ou la vente de cryptos ou de NFT. Le périmètre de sécurité crypto est radicalement différent de la cybersécurité traditionnelle. Le RSSI semble être l’acteur le plus approprié pour sécuriser les actifs et les opérations d’une entreprise sur le Web3 et aider ainsi les différentes parties prenantes à minimiser les risques d’attaques.

En premier lieu, il devra aider les membres des équipes opérationnelles et support qui gèrent des crypto-actifs à sécuriser les portefeuilles, en suivant des procédures strictes pour ne pas être victime de multiples formes d’attaques.

Il accompagnera également les équipes projet Web3 dans l’identification et la réduction des risques d’attaques sur les crypto-actifs (cartographie des acteurs externes et internes, analyse des risques, sécurisation des tiers, etc.).

Enfin, à mesure que de plus en plus de projets Web3 sont lancés et atteignent la phase de production, le RSSI devra adapter les référentiels (politiques de sécurité de l’information, procédures de gestion des cyberisques, etc.) ainsi que les outils de cybersécurité.

Infographies à télécharger

Télécharger l'infographie

Chiffres clés - Cybersécurité

Télécharger l'infographie (.PDF | 2,17 Mo)

Télécharger

Marché de l'audit de sécurité crypto

Télécharger l'infographie (.PDF | 2,57 Mo)

Contacts :

Vincent Maret

Associé, Responsable du pôle Cybersécurité et Protection des données personnelles

KPMG en France

 

Florian Bouchut, Ingénieur Blockchain Junior
Karolina Gorna, Ingénieure en cybersécurité et blockchain

Aller plus loin

notes ETUDE

Perspectives crypto 2023 : vers une révolution financière et numérique

Découvrez les tendances crypto 2023 : Bitcoin, Ethereum, DeFi, NFTs, Metaverses et stockage décentralisé. 1 année de révolution financière & numérique.

notes ETUDE

Web3 et crypto en France et en Europe

Découvrez comment l'adoption massive et l'utilisation de la crypto ont transformé les industries. Explorez les impacts et les opportunités.

notes ETUDE

Chiffres clés de la crypto en France : Etude KPMG et l'ADAN

Découvrez les chiffres clés de l'adoption de la crypto en France et les opportunités économiques du secteur. Une étude menée par KPMG et l'ADAN.

Restez informés des dernières actualités de KPMG en vous abonnant dès maintenant à nos communications personnalisées.