Vous avez eu des cryptos à Noël ? Voici les cybermenaces qui pèsent sur votre portefeuille.
« Jeu de prédiction de la CAN avec des prix à gagner en cryptomonnaies. » Vous aussi avez reçu, via un groupe WhatsApp, un lien vers une compétition ludique autour de la Coupe d’Afrique des Nations de football, dont les récompenses sont versées sur des plateformes d’échanges comme Binance, LBank ou Liyeplimal ? Ou peut-être avez-vous reçu des cryptomonnaies pour Noël ou comme étrennes de fin d’année ? Ce n’est pas étonnant : en 2021, l’Afrique est devenue la destination numéro un des cryptomonnaies. Et pour cause : le continent a enregistré une hausse de 1200% de transactions en un an et le Nigeria, le Kenya et l’Afrique du Sud se sont hissés au sommet de l’adoption de cryptomonnaies – et les pays francophones leur emboîtent de plus en plus le pas.
Attention, malgré tout, tout comme tout actif s’appuyant sur internet, vos cryptomonnaies sont susceptibles de faire l’objet de piratage !
D’un point de vue général, le secteur financier est devenu une cible de choix pour la cybercriminalité depuis l’irruption du Covid-19. Aujourd’hui, 81% des cadres dirigeants des entreprises estiment que la pandémie a renforcé la nécessité d’améliorer la sécurité des données financières, d’après une étude d’ESET.
La blockchain, des vulnérabilités spécifiques
Cela risque d’être encore plus vrai pour les pans de la fintech qui s’appuient sur les technologies blockchain, comme les cryptomonnaies et les NFT. Autrefois pensées inattaquables, celles-ci sont pourtant « particulièrement attractives aux pirates car elles empêchent d’annuler les transactions financières frauduleuses a posteriori, comme on peut le faire avec les systèmes financiers traditionnels », souligne le MIT Technology Review.
Surtout, comme elles s’appuient sur une architecture particulière, les blockchains ont des vulnérabilités spécifiques. Le monde des cryptomonnaies l’a découvert à ses dépens en 2019, lorsque la plateforme américaine d’échange Coinbase a remarqué qu’Ethereum Classic, une blockchain sur laquelle repose des crypto-actifs échangeables sur Coinbase, entre autres, était victime d’une attaque. Plus précisément, un mineur, soit l’un des protagonistes utilisant la puissance de calcul de ses appareils connectés pour faire fonctionner la blockchain, a pris le contrôle de la majorité de la puissance minière du réseau Ethereum Classic dans le but d’escroquer les autres utilisateurs en leur envoyant des paiements, puis en créant une version alternative de la blockchain dans laquelle les paiements n'ont jamais eu lieu – permettant de dépenser la cryptomonnaies plus d’une fois. A l’époque, Coinbase avait affirmé avoir réagi assez rapidement pour prévenir cette attaque, mais d’autres plateformes d’échanges, comme Gate.io, n’ont pas été aussi chanceuses.
Cette technique, appelée attaque des 51%, est typique des vulnérabilités spécifiques à l’architecture blockchain. Elle serait aujourd’hui trop coûteuse à réaliser sur de grandes blockchains, comme Bitcoin ou Ethereum, mais demeure l’une des épées de Damoclès des plus petites cryptomonnaies.
De nombreux autres cyber-risques liés à l’implémentation des blockchains existent, notamment à cause de failles cryptographiques, qui ont par exemple été identifiée au début du lancement de la cryptomonnaie Zcash, ou de divers bugs dans les smart contracts, ces contrats électroniques intelligents, parfois complexes, qui supplantent le besoin de tiers de confiance pour de nombreuses transactions (cryptomonnaies, NFT, tokens…).
Cryptojacking et fraudes à la cryptomonnaie
A ces risques protocolaires s’ajoutent également des menaces liées aux logiciels clients et aux utilisateurs. En septembre 2018, des vulnérabilités ont par exemple été trouvées dans Bitcoin Core, un client logiciel utilisé pour les transactions de bitcoins. Mais le piratage le plus connu d’un logiciel utilisateur de cryptomonnaies est celui de la plateforme d’échange japonaise Mt Gox, qui a dû fermer en 2014 après que des pirates se sont frauduleusement emparés de 740 000 bitcoin (6% de l’ensemble des bitcoins en circulation en 2014), soit l’équivalent de 460 000 dollars à l’époque.
Les utilisateurs non plus ne sont pas épargnés. Avec le boom récent des cryptomonnaies, notamment en Afrique, les campagne d’hameçonnage (phishing) via des emails frauduleux liés de près ou de loi à celles-ci sont aujourd’hui monnaie courante. De même, les cryptominers malveillants, ces maliciels (malwares) apparus autour de 2017, conçus pour détourner la puissance de traitement inactif de l'appareil d'une victime et l'utiliser pour extraire la cryptomonnaie – une technique appelée cryptojacking – sont de plus en plus courants.
Sans compter les nombreuses fraudes et arnaques aux cryptomonnaies, dont l’une des plus retentissante en 2021 est à chercher en Afrique, justement, avec Africrypt, une plateforme d’échange lancée par les frères sud-africains Ameer et Raees Cajee, sur laquelle 69 000 bitcoins, soit l’équivalent de 3 milliards d’euros à l’époque, aurait disparu. Il y a fort à parier que ce n’est que le début de type de scams...
7 recommandations pour protéger votre cryptomonnaie
1. Utilisez un logiciel officiel
Si vous téléchargez un portefeuille de cryptomonnaie, assurez-vous d’abord que le service choisi propose réellement une appli mobile, de bureau ou en ligne, en consultant son site web officiel.
2. Assurez-vous contre les pertes
Déterminez si l’éditeur de l’appli offre une assurance ou une protection des consommateurs contre les pertes de cryptomonnaie.
3. Choisissez une appli vérifiée
Lorsque vous téléchargez des applis mobiles sur Google Play, vérifiez le volume de téléchargements et les évaluations. Méfiez-vous des applis récentes.
4. Utilisez l’authentification multifacteurs (MFA)
Lorsque cette option est disponible, utilisez l’authentification multi-facteurs pour protéger vos comptes avec un niveau de sécurité supplémentaire.
5. Prenez soin de vos identifiants
Réfléchissez bien à l’endroit où vous consignez la phrase de récupération et la clé de votre portefeuille.
6. Saisissez au lieu de copier-coller
Saisissez l’adresse de votre portefeuille au lieu du copier-coller, et vérifiez l’adresse avant de l’utiliser.
7. Maintenez vos appareils à jour
Mettez à jour ! Utilisez toujours une solution de sécurité fiable, comme ESET Internet Security ou ESET Mobile Security, pour les protéger contre les toutes dernières menaces.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.