Comment assurer la sécurité des ICO

Alors que les ICO (levées de fonds en crypto-monnaies) sont de plus en plus populaires, la sécurité des fonds levés devient une question récurrente et cruciale pour les acteurs du marché.

Une récente étude Ernst & Young a mis le feu aux poudres : sur 3,7 milliards de dollars levés lors de 372 opérations d’ICO en 2017, 11% de cette somme auraient été perdus ou volés ! Cela représente donc presque 400 millions de dollars qui se sont envolés dans la nature.

Comme toute industrie naissante, et comme tout flux financier à portée de clic, le phénomène des ICO suscite de l’enthousiasme et des convoitises. Les porteurs de projets veulent souvent aller trop vite, sans penser aux conséquences de leur urgence. De ce point de vue, 2018 marquera certainement un tournant, celui de la professionnalisation, où la sécurité doit désormais passer avant tout. La bonne nouvelle, c’est qu’il existe déjà des solutions.

Un cadre de bonnes pratiques
Après une croissance fulgurante en 2017, le marché des ICOs est pourtant encore en train de se structurer. Certaines initiatives de charte ou de notation d’ICO tendent à normer les bonnes pratiques au niveau européen. Elles rencontrent d’ailleurs déjà de nombreux soutiens de la part de cabinets d’avocats, de spécialistes des ICOs ou de cabinets de conseil.  

Aujourd’hui la vérification d’identité des acheteurs, la partie "amont" des levées de fonds, est bien assurée, et les process et démarches de vérification KYC (Know Your Customer) sont bien rodés quand elles sont intégrées le plus tôt possible. En revanche, la partie "aval" pose encore souvent problème car beaucoup manquent de recul et de bonnes pratiques en la matière.

Sécurité à 360 degrés

L’expérience montre que des points fondamentaux ne sont pas toujours respectés lors de certaines ICO. Ainsi, la sécurisation des smart contracts est un élément fondamental à prendre en compte. Bien qu’un smart contract soit sécurisé par essence, car il ne fera que ce pour quoi il a été développé, des erreurs dans le code peuvent conduire à son utilisation détournée et/ou malveillante. Ce fut par exemple le cas en novembre dernier lors du gel de l’intégrité des porte-monnaies multi-signatures de l’éditeur Parity. A ce propos, les règles à appliquer sont celles de tout bon développeur : rigueur et vérification.

C’est aussi pourquoi certains porteurs de projets ont désormais recours à des plateformes de "bug bounty". Elles mettent des spécialistes à disposition, qui vont tester le contrat / code  pour chercher les possibles bugs ou erreurs en amont, avant le lancement d’un projet. Cette solution de bug bounty présente bien des avantages - mais il existe déjà des précautions à prendre en termes de sécurité dans le développement d’une ICO. Il est ainsi recommandé de bien séparer les smart contracts : l’un pour le KYC, l’autre pour la récolte des fonds, etc. Cette règle simple et de bon sens évite la centralisation et permet une meilleure efficacité en cas de problème.

L’utilisation de portefeuilles multi-signatures est aussi fortement encouragée. Cette solution permet intrinsèquement de sécuriser les fonds pendant le séquestre. En effet, ce procédé impose que deux des trois parties détenant les clés donnent leur autorisation au moment de libérer les fonds. Les 3 parties peuvent être, par exemple, l’opérateur de l’ICO, le client et une tierce partie de confiance. 

La sécurité passe aussi par le projet ICO en lui-même, et notamment le développement du token. La nature même de ce jeton est en soi un élément de sécurité pour éviter l’effet "FOMO" ("Fear of missing out") qui peut influer sur l’évaluation. 

Enfin, il est indispensable de sécuriser au maximum le site web utilisé pour l’ICO. On a déjà vu plusieurs attaques qui consistaient à hacker le site afin de changer l’adresse de récolte des fonds. Sur ce point, pas de solution miracle. Il faut s’en remettre à des spécialistes de la sécurité informatique, mais aussi penser à acheter toutes les extensions du nom de domaine de l’ICO -  et donc pas uniquement le .com, mais aussi les.org, .fr, .io, etc.

L’ensemble de ces mesures constituent une base très solide pour assurer la sécurité des ICO. C’est un passage nécessaire pour structurer des opérations qui deviennent de plus en plus communes, et qui pourraientpermettre de lever plus de 10 milliards de dollars en 2018.

Fintech

Annonces Google