Du blocage à la détection : sécuriser la nouvelle frontière de l'Internet à l'ère du Web 3

Esteban Tissot
Zimperium

Après le Web 1 centré sur la lecture, puis le Web 2 espace d'expression dominé par quelques plateformes centrales, Internet s'apprête à franchir une nouvelle étape : le Web 3 comme nouveau vecteur d'attaques.

Après le Web 1 centré sur la lecture, puis le Web 2 véritable espace d’expression dominé par quelques plateformes centrales, Internet s’apprête à franchir une nouvelle étape : le Web 3, qui redéfinit la notion même de propriété numérique. En s’appuyant sur la blockchain, les contrats intelligents et les cryptomonnaies, les utilisateurs ne se contentent plus de consulter ou de publier des contenus : ils peuvent désormais maîtriser leurs données, leurs contenus et leurs échanges. Le Web3 ouvre la voie à des usages inédits : une finance décentralisée sans intermédiaires, des œuvres numériques réellement possédées, des réseaux sociaux gouvernés par leurs communautés, des modèles économiques innovants dans le jeu ou encore des organisations collectives autonomes.

Derrière l’innovation, une nouvelle surface d’attaque

Le Web 3 s’inscrit désormais dans une dynamique d’adoption concrète, portée non seulement par les startups mais aussi par les plus grands acteurs économiques mondiaux. Meta investit massivement dans le métavers, Google structure son offre cloud pour accompagner les développeurs Web 3, tandis que des institutions financières comme J.P. Morgan développent leurs propres infrastructures blockchain. Même des acteurs culturels et grand public, à l’image de Spotify ou Starbucks, explorent de nouveaux usages autour des NFT et des actifs numériques.

Si le Web 3 redessine progressivement les modèles économiques et les interactions numériques à grande échelle, il s’accompagne d’un revers inévitable. Ainsi, à mesure que les entreprises s’approprient ces technologies, une nouvelle surface de risque émerge. Pour les cybercriminels, le Web 3 représente une opportunité stratégique : les infrastructures décentralisées compliquent l’identification des responsables contournent les dispositifs traditionnels de lutte contre le phishing et rendent les contenus plus difficiles, voire impossible à supprimer, car ils ne dépendent plus d’un serveur unique.

Le Web3, nouveau terrain de jeu des sites de phishing indestructibles

Les cybercriminels commencent à voir les avantages du Web 3. Ils l'utilisent pour héberger des pages de phishing particulièrement résilientes, parfois même impossibles à neutraliser. Dans le Web 2, si un attaquant crée un site pour usurper l'identité d'une banque sur un service d'hébergement traditionnel (comme GoDaddy ou AWS), l'équipe de sécurité de la banque peut contacter le fournisseur, qui supprimera généralement le site en quelques heures. Dans le Web 3, ce n'est pas aussi simple. Un simple redéploiement suffit à générer un nouveau point d’accès. Les avantages pour les acteurs de la menace sont multiples :

  1. Résistance à la censure et au retrait : Aucune entité centrale ne peut retirer un contenu. Celui-ci ne réside pas sur un seul serveur mais est distribué à travers un réseau mondial de nœuds. Si un lien malveillant est bloqué, d’autres restent actifs. L'attaquant peut simplement re-télécharger le contenu pour générer un nouveau lien, rendant la censure presque impossible.
  2. Opacité de la propriété et de la responsabilité : l'infrastructure de phishing Web 3 ne dispose d'aucun enregistrement de registrar, d'aucun hébergeur et d'aucun contact en cas d'abus. La propriété se réduit à des adresses de portefeuille, souvent jetables, anonymisées et réutilisées d'une campagne à l'autre, rendant les enquêtes traditionnelles telles que les recherches WHOIS ou les mesures coercitives des hébergeurs inefficaces
  3. Immuabilité du contenu avec des chemins d'accès variables : alors que le contenu sous-jacent est immuable et identifié par un hachage cryptographique, les moyens d'y accéder sont hautement variables. Les attaquants peuvent changer en permanence les passerelles, les domaines et les URL tout en diffusant exactement la même charge utile de phishing. Ce modèle de distribution « un-à-plusieurs » rend obsolète les systèmes de détection et de réputation basés sur les URL.
  4. Paiements et infrastructure anonymisés : les attaquants peuvent payer leurs domaines, leur stockage et leurs services de nommage à l'aide de cryptomonnaies et de portefeuilles anonymes, ce qui complique encore davantage l'attribution des attaques et le traçage financier.

Cette combinaison remet en cause un principe fondamental de la cybersécurité contre le phishing : le lien direct entre un contenu malveillant et un domaine ou à un hébergeur spécifique disparaît.

Le phishing Web 3 : une attaque multi-couches difficile à neutraliser

Une attaque ne repose pas sur un protocole unique, mais sur la combinaison de plusieurs technologies Web 3 pour créer un lien malveillant robuste. Le scénario type d’une attaque se déroule ainsi :

  1. L'attaquant déploie son site de phishing sur un réseau tel qu'IPFS.
  2. Il enregistre un nom de domaine trompeur tel que secure-bank.eth sur ENS et le redirige vers le CID du contenu hébergé sur IPFS.
  3. Il envoie un e-mail de phishing à la victime avec un lien utilisant une passerelle publique, telle que : https://secure-bank.eth.link ou un lien de passerelle direct comme https://ipfs.io/ipfs/<The_Site_CID>.
  4. La victime clique sur le lien. L'URL .eth.link est un domaine Web2 normal qui traduit l'adresse.eth, récupère le CID correspondant et fournit à l'utilisateur le contenu malveillant provenant du réseau IPFS.
  5. La page est identique au site de la banque réelle. La victime saisit ses identifiants, qui sont directement transmis à l'attaquant.

Le Web 3 n'est plus un concept futuriste ; il est déjà là, coexistant avec le Web que nous utilisons quotidiennement et son adoption devrait augmenter, portée par les investissements des grandes entreprises dans cette technologie et ses avantages inhérents.

Cependant, un seul site de phishing peut être accessible via plusieurs domaines et diffusé via des passerelles légitimes, rendant les méthodes de blocage traditionnelles, basées sur l'infrastructure, totalement inefficaces.

Pour se défendre efficacement contre cette nouvelle catégorie de menaces, il faut cesser de se concentrer sur l'emplacement d'hébergement d'un site et s'intéresser plutôt à ce que le site fait réellement