Cybersécurité du Web 3.0 : la blockchain est-elle si sécurisée ?

L’idée d’un monde virtuel totalement décentralisé, permettant des échanges accrus et dénués de contrôle (surtout étatique), où chaque utilisateur peut poser sa pierre à l’édifice, n’est pas une idée nouvelle. Elle prend racine dans la conception même des premiers protocoles Internet et du web. Cependant, ces métavers élèveraient d’un cran supplémentaire l’interconnexion du monde et la virtualisation de nos modes de vie et de consommation : cryptomonnaies, NFT1Un non-fungible token (NFT), “jeton non fongible”, représente un objet numérique (œuvre d’art, objet de collection, avatar, etc.) auquel est rattaché une identité unique, garantissant qu’il ne puisse être reproduit. Ils peuvent être utilisés dans les jeux vidéos, être des objets numériques à collectionner (collectibles) comme les CryptoPunks ou Bored Ape Yacht Club, des parcelles d’immobilier numérique dans des métavers ou encore des œuvres d’arts numériques., customisation de nos avatars, voyages dans différents univers, expérience de nouvelles sensations en réalité virtuelle, etc. Il faudrait pour cela abandonner le Web 2.0, aussi appelé “web participatif”, qui a connu son essor dans les années 2000 avec l’avènement des grandes plateformes et réseaux sociaux (GAFAM) concentrant l’essentiel des échanges sur Internet. Pour limiter le risque d’un contrôle systématique des échanges par l’intermédiaire des grandes entreprises de la tech, il faudrait donc développer le Web 3.0 à partir de la technologie blockchain2Signifiant « chaîne de blocs » en anglais, la blockchain est une sorte de registre qui contient la liste de tous les échanges effectués entre utilisateurs. Ce registre est décentralisé – c’est-à-dire stocké sur les serveurs de ses utilisateurs et non sur les serveurs d’une seule entreprise – et repose sur un système cryptographique réputé sécurisé pour valider chaque transaction. . Celle-ci, qui a pour objectif de faciliter les transactions de manière décentralisée, repose sur des systèmes de validation utilisant la cryptographie et est perçue comme étant très sécurisée.

Au-delà des multiples enjeux environnementaux (consommation d’énergie3Bien que l’on n’y soit pas encore, on peut déjà imaginer la consommation d’énergie que représente la mise en place des métavers : construction de méga-datacenters pour traiter les données, hyperconnectivité et utilisation d’objets connectés, etc. Aujourd’hui, la consommation énergétique des datacenters dans le monde est estimée à 2 ou 3% de la consommation électrique mondiale.), éthiques (régulation, censure) et financiers (volatilité des cryptomonnaies) que posent l’utilisation de ces technologies, le développement bien réel et actuel du Web 3.0 fondé sur la blockchain représente de surcroît un enjeu de sécurité. Cet article n’a pas vocation à procéder à un  étalage technique des fonctionnements et dysfonctionnements de la blockchain mais plutôt de proposer un panorama des conséquences économiques et (géo)politiques du Web 3.0, sous le prisme de la cybersécurité.

1/ Un marché mondialisé très lucratif

Le marché qui s’est développé autour du Web 3.0 est fondé sur la blockchain, une technologie assurant la décentralisation des transactions. En effet, chaque blockchain définit les modes de transaction en établissant un ensemble de règles (protocole). Par exemple, chaque blockchain définit ce qui constitue une preuve d’achat ou un certificat d’authenticité lors d’une transaction, afin d’assurer une confiance dans le crypto-actif (monnaie, objet) échangé, puisqu’il n’est pas tangible. Un NFT ou un jeton de crypto-monnaie sera donc associé à une identité numérique unique, reliée à un propriétaire et enregistrée dans la blockchain. Il est en principe impossible d’usurper cette identité grâce aux procédés cryptographiques utilisés. Il existe donc autant de modes de transactions que de blockchain (ex : Bitcoin, Ethereum, Solana, etc.), rendant cette économie totalement décentralisée et extrêmement lucrative bien que très volatile.

Les premières crypto-monnaies, dont le Bitcoin, ont réellement commencé à intéresser le public et les médias à partir des années 2010. De nouvelles crypto-monnaies ont depuis vu le jour, et certaines suivent le cours de monnaies réelles comme le bitUSD qui est indexé sur le dollar américain et donc moins sujet à la spéculation. Il existe aujourd’hui des milliers de crypto-monnaies dans le monde, et le marché grandit chaque année : en 2022, le record de 425 millions de détenteurs de crypto – monnaies – soit 5% de la population mondiale – a été atteint. Il s’agit aussi bien d’entreprises que de particuliers qui investissent dans les monnaies numériques. En outre, en novembre 2021, le marché mondial des cryptomonnaies a atteint une capitalisation de 3 007 milliards de dollars, son plus haut niveau historique. Le marché de la blockchain (rassemblant cryptomonnaies, NFT, etc.) a lui été évalué à 12,7 milliards de dollars en 2022, avec une projection à 40 milliards de dollars d’ici 20254https://fr.statista.com/themes/9325/les-cryptomonaies/ . Certains Etats ont même lancé leur propres crypto-monnaies nationales, à l’instar de la Chine, ou ont adopté le Bitcoin comme monnaie officielle à l’instar du Salvador et de la Centrafrique.

2/ L’essence même de la blockchain en fait pourtant une cible de choix

Si la détention de crypto-monnaies devient aujourd’hui une tendance, la technologie blockchain tant prisée pour sa sécurité présente cependant de nombreuses failles, exploitées par différents acteurs, étatiques comme criminels. Puisque les protocoles de blockchain sont développés en open-source, ceux-ci sont accessibles à quiconque maîtrisant les langages informatiques, notamment des individus malveillants. Plusieurs scénarios peuvent alors avoir lieu :

  1. Un attaquant découvre une faille dans le code d’une blockchain et va chercher à l’exploiter le plus discrètement possible pour voler des informations sur les clients ou détourner des transactions.
  2. Un attaquant décide de créer les failles à la source en injectant du code malicieux (ex : détourner l’argent vers un autre destinataire) dans le protocole de blockchain disponible en open-source, qui sera ensuite utilisé dans toutes les transactions.

En plus de ces attaques courantes, de nombreux hackers travaillant pour des grandes organisations criminelles (ex : mafia italienne) ou pour le compte d’un Etat (ex : Russie, Corée du Nord) cherchent à escroquer les détenteurs de crypto-monnaies en leur tendant des pièges : faux site internet se faisant passer pour un site officiel d’échange de NFT, hameçonnage, etc.

La cybercriminalité envers la blockchain est particulièrement profitable car elle demande relativement peu d’efforts pour les hackers pour des butins particulièrement importants. A titre d’exemple, le plus grand vol de crypto-monnaies, qui a eu lieu en août 2021 à l’encontre de PolyNetwork, a été estimé à 610 millions de dollars. Régulièrement, les plateformes d’échanges de crypto-monnaies (plateformes DeFi) sont la cible d’attaques : on estime à 2,2 milliards de dollars le montant des vols de crypto-monnaies sur l’année 20215https://www.zdnet.fr/actualites/22-milliards-de-dollars-de-crypto-monnaies-volees-sur-les-plateformes-defi-en-2021-39935237.htm . Les acteurs de la menace se spécialisent et professionnalisent donc de plus en plus dans la cybercriminalité du Web 3.0 : les groupes cybercriminels postent des annonces de recrutement sur les chaînes Telegram et le darkweb, vendent leurs logiciels pour dérober des crypto-monnaies avec un service client associé, etc. En outre, des acteurs étatiques, comme la Corée du Nord à travers son groupe de hacker Lazarus, sont réputés pour se spécialiser dans le vol de crypto-actifs afin de financer leurs activités illégales, comme le développement d’armes nucléaires et balistiques. En créant plus de 500 sites web d’hameçonnage et en exploitant des failles de sécurité, le groupe Lazarus est parvenu à voler des NFT et jetons de crypto-monnaies pour un montant total de 620 millions de dollars sur l’année 20226https://cointelegraph.com/news/north-korean-hackers-stealing-nfts-using-nearly-500-phishing-domains , soit une augmentation de plus de 50% par rapport à 2021.

3/ Face à un marché criminel en croissance, des moyens de protection limités 

Les victimes de ces attaques sont diverses : de l’influenceur sur les crypto-monnaies au citoyen lambda qui voulait découvrir et faire l’expérience de la tendance “crypto”, en passant par les plateformes DeFi, ces catégories de victimes sont directement touchées par les cyberattaques. Indirectement, ces attaques peuvent avoir des conséquences sur des projets financés par des crypto-monnaies, qui s’effondrent à la suite de grands hacks sur les protocoles : une fois les jetons dérobés, ils sont revendus en grande quantité, faisant chuter les cours des crypto-monnaies.

La situation actuelle est d’autant plus critique qu’un enjeu essentiel semble actuellement difficile à résoudre : le manque de professionnels formés à la cybersécurité de la blockchain. Selon KPMG, seules 1000 à 1500 personnes dans le monde disposent de cette expertise7https://kpmg.com/fr/fr/home/insights/2022/06/cybersecurity-for-blockchains-and-cryptos-2022.html . En outre, les plateformes DeFi investissent très peu d’argent dans la sécurisation de leurs protocoles et réalisent peu d’audits de cybersécurité. Néanmoins, les Etats adaptent peu à peu leurs arsenaux législatifs pour étendre leurs compétences dans le monde de la finance décentralisée. En 2022, le parlement français a adopté la loi d’orientation et de planification du ministère de l’Intérieur (LOPMI), permettant entre autres d’étendre les moyens de lutte contre la cybercriminalité en recrutant des cyberpatrouilleurs et en leur donnant la capacité de saisir des crypto-actifs sur simple autorisation du procureur de la République ou du juge d’instruction. Cependant, aucune loi encadre les crypto-monnaies en France. Aux Etats-Unis, la Maison Blanche avait publié en septembre 2022 un rapport sur l’encadrement des crypto-monnaies, demandant notamment au département du Trésor d’évaluer les risques des crypto-actifs d’ici à juillet 2023 et souhaitant étendre les capacités de poursuite de la Justice8https://www.whitehouse.gov/briefing-room/statements-releases/2022/09/16/fact-sheet-white-house-releases-first-ever-comprehensive-framework-for-responsible-development-of-digital-assets/. Si les Etats commencent à prendre en compte les enjeux cyber du Web 3.0, ils sont cependant loin de combler le manque d’expertise dans ce domaine.

Pour conclure, la cybersécurité du Web 3.0 est aujourd’hui un sujet très peu connu et pourtant essentiel car la cybercriminalité y est particulièrement florissante, et cela risque de s’empirer sans action dans ce sens. En effet, de plus en plus de personnes s’intéressent aux crypto-actifs et investissent pour faire l’expérience de cette tendance, sans être armées pour y faire face. Plus de détenteurs de crypto-actifs signifie donc plus de victimes potentielles. Les Etats et entreprises investissent trop peu ce sujet aujourd’hui et un effort clair dans ce sens est absolument nécessaire pour protéger les entreprises et les citoyens : investir dans la formation de cyberpatrouilleurs mais aussi sensibiliser les citoyens et entreprises à ces enjeux, poser un cadre réglementaire pour limiter et sanctionner la cybercriminalité, etc. Ces investissements deviennent d’autant plus urgents que la perspective de métavers approche : ces univers décentralisés, potentiellement non contrôlés et développés sans prise en compte de la cybersécurité pourraient démultiplier les risques de fraudes, d’escroqueries et de cyberattaques sur le Web 3.0.

Rédigé par Camille MAINDON

Comité de rédaction

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Revenir en haut de page