Il n’y a pas si longtemps, notre cabinet a reçu un avertissement de cybersécurité de la part d’un client. Leur protocole crypto, que nous avons audité et qui a été récemment lancé, est exploité. C’est évidemment une terrible nouvelle, alors nous nous sommes précipités pour voir ce qui s’est passé.
Après une certaine confusion, nous avons réalisé que notre client avait en fait déployé la mauvaise version de son protocole : la version de test utilisée lors du développement, et non la version que nous avons auditée. Il s’agit d’une simple erreur humaine, mais qui coûte beaucoup d’argent au client.
Cette anecdote illustre un problème réel et répandu dans le secteur de la cryptographie : de nos jours, les attaques de cybersécurité les plus dommageables ne ciblent pas autant les erreurs de code que les erreurs opérationnelles.
Depuis 2022, l’industrie a perdu la somme colossale de 2,2 milliards de dollars à cause de mauvais acteurs. La réponse de l’industrie a été de tripler le nombre d’audits logiciels effectués. Mais nos recherches montrent que la majorité des attaques se concentrent en réalité sur des vulnérabilités humaines, qui dépassent le cadre des audits réguliers.
En d’autres termes, l’industrie de la cryptographie doit changer son attitude à l’égard des contrôles de cybersécurité. Elle ne doit pas abandonner les audits de code, mais doit sérieusement intensifier ses efforts pour se protéger des vecteurs d’attaque humains. Sinon, il continuera à saigner et n’aura jamais la chance de devenir véritablement grand public.
Les audits traditionnels ne suffisent pas
Pour être honnête, les audits ont amélioré la qualité des logiciels de cryptographie. Moins d’exploits sont causés par des erreurs techniques de codage qu’auparavant. L’industrie s’est améliorée dans ce domaine particulier.
Mais les criminels s’adaptent. Les attaques les plus coûteuses d’aujourd’hui consistent à inciter les employés à communiquer leurs mots de passe, à manipuler les systèmes de vote qui régissent la manière dont ces plateformes prennent des décisions, à implanter des logiciels malveillants via des mises à jour régulières ou simplement à compromettre des initiés de confiance.
Parallèlement, les outils d’IA ont permis aux attaquants de créer plus facilement de faux e-mails convaincants, de se faire passer pour des collègues et d’automatiser des types de manipulations sociales qui nécessitaient autrefois des efforts considérables. L’aspect humain de la sécurité est devenu une cible plus importante, et la défense industrielle n’a pas suivi le rythme.
Pire encore, nos données (qui examinent plus de quatre années de conclusions d’audit de 22 entreprises et comparent les exploits survenus au cours de la même période) montrent que les cyberattaques ont tendance à siphonner bien plus d’argent lorsqu’elles exploitent des vulnérabilités humaines que lorsqu’elles exploitent des vulnérabilités de code. L’industrie de la cryptographie n’investit donc pas ses ressources de défense dans le secteur approprié de la cybersécurité.
Faux sentiment de sécurité
De nombreuses plateformes de cryptographie annoncent le nombre d’examens de sécurité qu’elles ont effectués et les entreprises prestigieuses qu’elles engagent pour effectuer ces examens. C’est devenu un signe de confiance, une façon de dire que leur utilisation est sûre.
Le problème est que les audits fonctionnent davantage comme des instantanés que comme des examens de sécurité continus. Ils examinent un logiciel spécifique à un moment précis. Dès que la plateforme met à jour son logiciel, modifie son organisation ou recrute un nouveau membre dans son équipe, la situation change. Mais le badge « nous avons été audités » reste sur le site Internet.
Cela crée un faux sentiment de sécurité pour les utilisateurs et pour l’équipe elle-même. Les gens arrêtent de poser les questions difficiles parce qu’ils pensent que le travail acharné est accompli. Pendant ce temps, le risque s’est déplacé vers un autre endroit.
Ce qui doit vraiment changer
Chaque fois qu’une importante plateforme de cryptographie perd des millions de dollars du jour au lendemain, cela érode la confiance du public dans l’ensemble du secteur. La plupart des gens ne se soucient pas de savoir s’il s’agit d’une erreur de codage ou d’un employé qui a été trompé. Ils voient simplement une autre plateforme prétendument sûre échouer. C’est un obstacle de taille pour une industrie qui veut être prise au sérieux par le grand public.
La solution est de ne pas abandonner l’examen de sécurité, car il reste important. Mais ils ne peuvent pas constituer la seule ligne de défense. L’industrie doit considérer la sécurité comme une banque ou un hôpital : comme une discipline organisationnelle à plusieurs niveaux qui comprend la formation du personnel pour reconnaître la fraude, contrôler strictement qui a accès aux systèmes critiques, créer des systèmes d’alerte précoce qui indiquent une activité inhabituelle et disposer d’une surveillance automatique capable d’arrêter les transactions suspectes avant qu’elles ne soient endommagées.
Les plateformes cryptographiques ne sont pas que des logiciels. Ce sont des organisations remplies d’humains, et les humains peuvent être manipulés, trompés et opprimés d’une manière que les révisions de code ne peuvent empêcher. Les pirates l’ont compris il y a quelque temps. L’industrie doit désormais emboîter le pas.
Stefan Beyer est le directeur général d’Oak Security, une société de cybersécurité spécialisée dans les audits Web3.
