Les violations de données par des tiers ont explosé. Le problème ? Les entreprises, y compris les exchanges de cryptomonnaies, ne savent pas comment s'en protéger. Lorsque les exchanges signent avec de nouveaux fournisseurs, la plupart d'entre eux s'attendent tout naturellement à ce que ces derniers appliquent le même niveau de contrôle qu'eux. D'autres ne l'envisagent pas du tout. Aujourd'hui, tester les vulnérabilités en aval de la chaîne d'approvisionnement n'est pas seulement une bonne pratique, c'est une nécessité absolue.

De nombreux exchanges sont soutenus par des financiers internationaux et par des personnes novices en matière de technologies financières. Nombre d'entre eux sont même totalement novices en matière de technologie, et sont soutenus par des investisseurs en capital-risque qui cherchent à se mouiller dans un secteur en plein essor. En soi, ce n'est pas nécessairement un problème. Cependant, les entreprises qui n'ont pas grandi dans l'arène de la fintech ne saisissent souvent pas pleinement l'étendue des risques de sécurité inhérents au fait d'être dépositaire de centaines de millions de dollars d'actifs numériques.

Nous avons vu ce qui se passe en cas de sécurité insuffisante, qui va au-delà de la gestion des fournisseurs et s'étend aux ponts entre les blockchains. En octobre dernier, Binance a été victime d'un piratage de pont d'une valeur de neuf chiffres. Il y a aussi le piratage du pont Wormhole, une autre violation à neuf chiffres. Le piratage du pont Ronin a entraîné la perte de plus d'un demi-milliard de dollars d'actifs.

En fait, un nouveau rapport indique que sur une période de deux ans, plus de 2,5 milliards de dollars d'actifs ont été volés grâce à des hacks de ponts cross-chain, ce qui éclipse les pertes associées aux brèches liées aux prêts financiers décentralisés et aux exchanges décentralisés combinés.

Les violations par des tiers ne sont pas seulement un problème pour l'industrie crypto, et ne sont certainement pas limitées aux petits acteurs. Plus tôt cette année, le système scolaire de la ville de New York a subi une violation impliquant un fournisseur tiers, qui a touché plus de 800 000 personnes. Les violations par des tiers sont la nouvelle zone d'action des mauvais acteurs.

À lire également : La répression gouvernementale est à venir, à moins que les cryptomonnaies ne s'autorégulent

Cela est d'autant plus vrai que les États-nations comptent de plus en plus sur les pirates informatiques dans le cadre de leur politique étrangère. En particulier, les groupes de Corée du Nord et de Russie sont à la recherche de pots de miel à partir desquels ils peuvent siphonner des actifs. Le secteur des cryptomonnaies est donc une cible de choix.

La seule façon d'endiguer ces problèmes avant qu'ils ne mettent à mal le secteur est de réorienter la façon dont il perçoit les initiatives de sécurité des partenaires. Ces derniers doivent faire l'objet d'une vérification complète et approfondie avant d'être autorisées à accéder aux données institutionnelles, quelles qu'elles soient. Une fois l'accès autorisé, il est essentiel de limiter leur accès aux seules données absolument nécessaires, et de révoquer ces autorisations lorsqu'elles ne sont plus requises, comme l'auraient fait les personnes impliquées dans la violation de Ronin. En outre, il est essentiel d'examiner les pratiques de chaque fournisseur en matière de confidentialité.

Comme pour les ponts, le défi des fournisseurs tiers réside dans la connexion avec le système de l'institution. La plupart des ponts cross-chain sont violés après l'introduction de bogues dans le code ou la fuite de clés. Ces attaques peuvent être atténuées et, dans de nombreux cas, évitées. Que les brèches résultent de faux dépôts ou de problèmes de validateurs, l'erreur humaine est souvent un problème. Après que les piratages ont fait les gros titres, les enquêtes montrent que ces erreurs de code auraient pu être corrigées avec de la prévoyance.

Quelles mesures en particulier auraient pu avoir un effet sur les piratages de ponts cross-chain, comme celui de Binance, que nous avons vu récemment ? Le code des ponts doit être régulièrement audité et testé avant et après sa publication. L'un des moyens les plus efficaces d'y parvenir est d'utiliser des primes de bug. Les adresses de smart contracts doivent faire l'objet d'une surveillance constante, tout comme les faux dépôts. Une équipe de sécurité doit être mise en place, qui utilise l'intelligence artificielle pour signaler les risques potentiels, afin de superviser ces efforts de gestion des risques.

À lire également : Les autorités fédérales s'attaquent au metaverse, d'Axie Infinity à Bored Apes

Si la sécurité était davantage prise en compte en amont, il y aurait moins de mauvaises nouvelles. Il est bien moins coûteux d'engager des pirates en chapeau blanc pour trouver des vulnérabilités avant que les mauvais acteurs ne le fassent, que d'attendre que ces derniers les trouvent eux-mêmes.

Historiquement, le secteur a eu sa part de mauvais titres. Il a même eu sa part de piratages à neuf chiffres. Cette année, il semble qu'ils soient devenus un élément presque banal du secteur des actifs numériques. Cependant, alors que la politique s'immisce de plus en plus dans la réglementation des cryptomonnaies, la menace n'a jamais été aussi grande. Les pirates soutenus par des États-nations profitant davantage de ces connexions tierces, ils feront l'objet d'une surveillance accrue. Il n'y a aucun doute là-dessus. La seule question est de savoir quand.

Cette question trouvera probablement une réponse dès que le Congrès des États-Unis aura finalisé une nouvelle législation sur le sujet. Il est logique que la réglementation soit la prochaine étape à franchir, à moins que le secteur n'agisse avec précipitation.

Richard Gardner est le PDG de Modulus, qui développe des technologies pour des institutions telles que la NASA, le Nasdaq, Goldman Sachs, Merrill Lynch, JPMorgan Chase, Bank of America, Barclays, Siemens, Shell, Microsoft, l'université Cornell et l'université de Chicago.

Cet article est destiné à des fins d'information générale et n'est pas destiné à être et ne doit pas être considéré comme un conseil juridique ou d'investissement. Les points de vue, réflexions et opinions exprimés ici n'engagent que l'auteur et ne reflètent ni ne représentent nécessairement les points de vue et opinions de Cointelegraph.