Le guide complet en matière de sécurité et de conformité pour les entreprises de cryptomonnaies
Alors que le nombre d'utilisateurs de cryptomonnaies continue d'augmenter et que des institutions financières s'intéressent à ce secteur, les perspectives pour les entreprises proposant des services de garde de cryptomonnaies restent positives. Néanmoins, ces sociétés, en particulier les bourses de cryptomonnaies, sont confrontées à des risques majeurs en matière de sécurité et de conformité.
L’affaire Poly Network est encore dans toutes les têtes. L’entreprise suisse spécialisée dans les cryptomonnaies s’est vue dérober l’équivalent de 600 millions d’euros par un hacker. Et même si ce dernier a fini par rendre la totalité de la somme, ce vol d’un montant record démontre l’urgence de la sécurisation des cryptomonnaies.
Bien sûr, éviter les conséquences négatives n'est pas la seule raison de prendre au sérieux ces enjeux. Il est également crucial d’établir un lien solide de confiance avec les nouveaux utilisateurs potentiels, en particulier lorsque les cryptomonnaies se généralisent et que les nouveaux venus recherchent les services les plus sûrs. Voici donc un guide complet des mesures à prendre pour se conformer aux réglementations imposées par le Groupe d'Action Financière (GAFI) contre la lutte contre le blanchiment de capitaux, et garder les fonds des clients à l'abri des cybercriminels.
Conformité pour les entreprises de cryptomonnaies : comment suivre les réglementations du GAFI ?
Les entreprises de cryptomonnaies opèrent selon des juridictions propres à leur pays, mais ces dernières reprennent majoritairement les règles du GAFI qui sont :
- Connaître son client (Know Your Customer - KYC) : Ces règles imposent la collecte d'informations d'identification des utilisateurs, pour s’assurer qu'ils ne font pas l'objet de sanctions et pour avoir ces données à disposition en cas d'activité suspecte. Le processus KYC permet ainsi à une entreprise de cryptomonnaies de relier chaque compte sur sa plateforme à une identité réelle à l’aide de l’adresse mail, la pièce d’identité, la date de naissance, le numéro de sécurité sociale, le numéro de téléphone, l’adresse postale et un justificatif de domicile. Dans la plupart des juridictions, une entreprise de cryptomonnaies peut se contenter de demander une adresse mail à un utilisateur qui souhaite s’inscrire. Mais lorsque les transactions atteignent des montants élevés, les entreprises doivent légalement commencer à récolter plus d’informations personnelles et vérifier si un utilisateur fait l'objet de sanctions suite à des activités illicites ou des affaires de corruption. Les entreprises de cryptomonnaies peuvent également consulter les listes de sanctions tenues par certains organismes gouvernementaux pour éviter d’avoir à vérifier régulièrement si leurs utilisateurs ont été sanctionnés depuis leur inscription.
- Surveillance les transactions : Les entreprises de dépôts de cryptomonnaies sont obligées de vérifier les transactions pour détecter toute activité suspecte indiquant un blanchiment d'argent, un financement du terrorisme ou d'autres formes de criminalité financière. Les juridictions alignées avec le GAFI demandent en effet à ces entreprises de conserver et de partager les registres de toute transaction suspecte, qui dépassent un certain montant et/ou d’un montant à peine inférieur à celles devant automatiquement être déclarés en vertu des règles du GAFI.
- Réagir à une activité à risque : Les entreprises de cryptomonnaies doivent définir au préalable des solutions adaptées au niveau de risque des activités suspectes. Le niveau de risque d’une transaction suspecte ou illicite dépend largement du montant des fonds échangés - un utilisateur qui envoie des cryptomonnaies d'une valeur de plusieurs milliers d’euros sur un marché darknet doit être considéré comme beaucoup plus à risque que celui qui envoie quelques centaines de dollars à un service de jeux d'argent. Il y a plusieurs manières de réagir dans le cas d’une détection de transaction suspecte : l’entreprise peut contacter le client directement pour obtenir des explications, elle peut geler les fonds de l’utilisateur, lui interdire d’effectuer des transactions au-delà d’un certain montant, ou même le bannir de sa plateforme. Si l'activité d'un utilisateur est suffisamment suspecte pour que l’entreprise prenne l'une de ces mesures, elle doit également déposer un rapport d'activité suspecte dans les 30 jours auprès de l’organisme compétent dans la juridiction concernée. À mesure qu’une entreprise se développe, elle aura besoin d'un système de surveillance automatisée des transactions pour suivre les activités suspectes et déposer des déclarations de soupçon en temps voulu.
La sécurité des entreprises de cryptomonnaies
La sécurité est tout aussi importante que la conformité lorsqu'il s'agit de construire une entreprise de cryptomonnaies. Lorsqu'elles ne sont pas correctement sécurisées, les transactions d'actifs numériques peuvent être extrêmement vulnérables aux cyberattaques et autres menaces. Preuve en est, plus de 15 milliards de dollars d'actifs numériques ont été volés au cours des huit dernières années dans des piratages d'échanges de cryptomonnaies.
Si l'on n'y prend garde, les clés privées, les adresses de dépôt et les clés API peuvent entraîner de graves problèmes de sécurité, notamment des cyberattaques ou même des violations de la sécurité interne. Mais il est tout à fait possible de sécuriser ces trois éléments en adoptant une défense en profondeur (DEP) dans laquelle tous les vecteurs d'attaque sont atténués par de multiples couches de sécurité logicielle et matérielle.
Les clés privées
Les pirates informatiques et autres acteurs malveillants (tels que les complices internes) peuvent tenter de compromettre les clés privées d'une victime afin d'accéder à son portefeuille, qui contrôle les fonds qu'elle a stockés sur la blockchain. Le cybercriminel est ainsi en mesure de transférer les fonds du portefeuille de la victime vers son propre portefeuille. Un exemple récent est le piratage en janvier 2019 de Cryptopia, la plateforme d'échange néo-zélandaise spécialisée dans les altcoins, au cours duquel des pirates informatiques professionnels ont volé 16 millions de dollars en compromettant le système de portefeuille de Cryptopia.
Auparavant, les clés privées étaient compromises via la propagation d’un logiciel malveillant dans un serveur ou à cause d’un employé détenant les autorisations qui volait la clé privée.
Aujourd'hui, les institutions du marché des actifs numériques sécurisent les clés privées en utilisant le Calcul Multipartite Sécurisé (MPC), protocole cryptographique permettant à toutes les parties de calculer une fonction de chacune de leurs entrées individuelles, sans avoir à révéler leurs entrées. Le MPC représente une nouvelle étape importante dans la sécurité des clés privées, et il est encore plus efficace s'il est sécurisé dans le matériel et à travers plusieurs fournisseurs de cloud.
Le MPC est une solution de portefeuille sûre car elle offre un accès immédiat aux actifs numériques tout en conservant le plus haut niveau de sécurité. Les capacités fondamentales du MPC éliminent le point unique de compromission de la clé privée, et dans le même temps, la nature distribuée du MPC permet aux membres de l'équipe d'exiger plusieurs autorisations pour une transaction et de signer des transactions sans se trouver au même endroit.
Les adresses de dépôt
Une adresse de dépôt est une longue chaîne alphanumérique qui désigne l'adresse publique d'un portefeuille. Pour transférer des fonds à une contrepartie, les deux parties doivent échanger des adresses de dépôt. Les pirates informatiques ciblent ce processus d'échange d'adresses de dépôt à un certain nombre d'étapes en créant par exemple des extensions web Chrome frauduleuses qui détournent le navigateur web, en usurpant l'adresse lors du copier-coller entre le navigateur web et l'application du portefeuille, ou encore en interceptant et en modifiant l'adresse de dépôt lorsque celle-ci est envoyée entre des contreparties sur un service de messagerie (type Telegram).
Au Royaume-Uni, deux adolescents sont accusés du vol d’un million de dollars en bitcoins via un malware, Clipboard, que la victime présumée aurait téléchargé par inadvertance alors qu’elle voulait installer l’application de cryptomonnaies Electrum Atom. Alors que la victime effectuait une transaction, le logiciel aurait lancé une attaque de type "Man-in-The-Middle" (MiTM) et remplacé l’adresse de destination par l’adresse d’un portefeuille appartenant aux adolescents.
Plusieurs méthodes ont été utilisées pour atténuer la menace de compromission des adresses de dépôt. Notamment les transferts de test permettant de s'assurer que l'adresse de dépôt ne sera pas compromise en cours de route ; la liste blanche qui liste les individus, institutions, programmes informatiques, et adresses autorisés ; ou encore les portefeuilles matériels qui isolent l'adresse de dépôt sur un dispositif matériel, comme un écran par exemple, permettant à l'utilisateur de la comparer à celle affichée sur son ordinateur pour s'assurer qu'elle est la même.
Les clés API
Les bourses et les fournisseurs de liquidité demandent souvent aux clients d'utiliser des clés API pour accéder automatiquement à leurs plateformes. Ces identifiants sont vulnérables aux formes traditionnelles de logiciels malveillants tels que l'enregistrement des touches et le phishing (ou hameçonnage). Les clés API stockées dans les logiciels de négociation peuvent également être volées si le serveur ou le référentiel de code est compromis.
L'un des exemples les plus marquants d'une attaque basée sur des clés API compromises est le piratage de la bourse Binance en mai 2019. Les cybercriminels ont utilisé une technique de phishing ainsi que des virus pour obtenir un grand nombre de codes d'authentification à deux facteurs et de clés API. Ils ont fait main basse sur 7 074 bitcoins - d'une valeur de plus de 40 millions de dollars en une seule transaction.
Aujourd'hui, les institutions utilisent diverses méthodes pour protéger les secrets des API, notamment l'isolation matérielle au niveau de la puce qui garantit la confidentialité et l'intégrité de l'exécution. Cela empêche les cybercriminels et les fournisseurs de solutions d'accéder aux clés ou d'usurper l'authenticité des adresses de dépôt vers lesquelles les fonds sont transférés.
En plus de cette précaution, il est préférable de traiter les clés API de la même manière que les clés privées en les divisant en parts de MPC. Les avancées récentes en matière de sécurité des API applique désormais le MPC aux informations secrètes des clés API - permettant aux clients d'accéder aux échanges avec des clés API distribuées tout en supprimant le point unique de compromission.
L’avenir des cryptomonnaies
Les cryptomonnaies continuent de gagner en popularité et semblent prêtes à devenir un actif d'investissement et un moyen d'échange courant. Mais pour rendre cela possible, les acteurs du secteur doivent s'assurer d’implémenter des mesures de protection des consommateurs et de processus de conformité comparables à ceux auxquels les utilisateurs sont habitués lorsqu'ils traitent avec des monnaies fiduciaires. En suivant les étapes décrites dans ce guide, les entreprises de cryptomonnaies peuvent atteindre les niveaux de sécurité et de conformité nécessaires, et ouvrir la voie à une adoption continue par les nouveaux utilisateurs.