Pourquoi les piratages sont-ils aussi fréquents dans les crypto ?
50, 150, 500 millions de dollars… Ces chiffres, qui peuvent donner le tournis, ne sont pas les capitalisations des dernières pépites du Web3. C'est le montant de quelques hacks parmi les plus célèbres de l'écosystème de la blockchain et des cryptomonnaies. Parmi les piratages les plus connus, citons ceux de la plateforme d'échange Mt Gox en 2014 (740 000 bitcoins) et The DAO en 2016 (60 millions de dollars).
Depuis, le marché ayant considérablement grandi, les hacks peuvent se chiffrer par centaines de millions. L'un des derniers en date est celui de Ronin Network, pour environ 600 millions de dollars ! Une question se pose alors : pourquoi ces piratages sont-ils aussi fréquents, alors que la technologie blockchain est censée être la plus sécurisée au monde ?
Un facteur déterminant : l'erreur humaine
Le vol de données, piratage le plus fréquent
Au risque de se répéter, les principaux piratages recourent aux techniques classiques que l'on peut voir partout ailleurs sur Internet. Le phishing, l'usurpation d'identité ou bien la naïveté d'un utilisateur sont les plus fréquents.
La clé privée d'un portefeuille protège celui-ci des intrusions extérieures… à condition de protéger sa clé. Or, en donnant sa clé privée sans le savoir à un hacker ou en la stockant au mauvais endroit, il peut être extrêmement simple de vider un portefeuille. Cette technique ne nécessite aucune connaissance technique et est très simple à réaliser.
Dans ce cas, ni le protocole ni la technologie ne sont fautifs et la blockchain reste toujours aussi sûre. Cependant, la sûreté n'empêche pas d'être vigilant avec les données que nous devons protéger. C'est notamment pour cette raison que des services de conservation de clés privées sont en train de voir le jour.
L'escroquerie, un complément à l'erreur humaine
Il peut arriver que notre clé privée soit dérobée sans que nous y soyons pour grand-chose. Dans ce cas, ce n'est pas l'utilisateur qui est en cause, mais le protocol,e voire le portefeuille. Lorsque c'est le portefeuille, soi-disant la sécurité ultime, qui est touché, il est tentant de mettre le hack sur le dos de la technologie. Pourtant, c'est encore une fois une erreur humaine.
Par exemple, si vous utilisez un MetaMask, vous avez peut-être téléchargé une version piratée sans le savoir. Ensuite, votre fameuse clé privée n'était pas stockée sur un bout de papier, mais via un fichier sur votre ordinateur. Il est aussi possible que vous ayez participé à votre insu à une arnaque et que les cryptos que vous avez transmises sont entre les mains d'un pirate.
L'escroquerie est donc encore due à l'erreur humaine. C'est pour cela qu'il faut toujours surveiller l'adresse URL des sites internet que l'on fréquente, qu'il ne faut pas répondre à un inconnu sur Discord ou Telegram vous offrant un "technical support" et ne pas tomber dans le piège des rendements mirobolants.
Ici encore, la technologie n'est pas remise en cause. mais l'erreur humaine existe parfois dans le protocole même, et c'est le plus inquiétant.
Un facteur inquiétant : le manque de sécurité de certains protocoles
L'exploitation de failles de sécurité par les pirates
Certes, il s'agit également d'une erreur humaine. Mais celle-ci existe dès la conception du protocole et est exploitée par un pirate. La faille de sécurité est le fléau des jeunes protocoles, qui veulent se lancer trop vite en négligeant certains aspects liés à la sûreté.
Bien entendu, ces hacks nécessitent d'excellentes connaissances en informatique, à commencer par la compréhension parfaite du code source. Les pirates peuvent alors repérer des failles, parfois liées aux adresses d'envoi, aux blocages des transferts voire au stockage des cryptomonnaies pour les protocoles centralisés. Les pirates trouvent ensuite une entrée (backdoor) dans le réseau en raison d'un manque de protection. Parfois, il peut s'agir d'une erreur humaine en amont, comme un mot de passe pas assez robuste d'un administrateur.
En s'introduisant dans le protocole, il est possible de le modifier à sa guise et de transférer une somme conséquente, avant que l'attaque soit repérée et la faille refermée. En général, ce type d'attaques ne dure que quelques minutes, voire quelques secondes. Mais cela suffit à compromettre un réseau.
Il est difficile de se prémunir de ce type d'attaques, car nous ne sommes pas aux manettes du protocole en question. Nos conseils restent donc les mêmes : conservez vous-mêmes vos cryptos dès que vous le pouvez et fuyez les protocoles qui vous paraissent douteux.
La blockchain, une technologie qui reste sûre
La distinction peut paraître mince et complexe à identifier pour un néophyte. Pourtant, une faille de sécurité n'est pas synonyme d'une faille de la technologie blockchain. Par exemple, dans le cas des vols de bitcoins dans l'affaire Mt Gox, le problème venait d'une faille de sécurité sur la plateforme Mt Gox. Ici, comme dans tous les piratages liés au Bitcoin, l'origine est venue d'une négligence humaine d'une plateforme ou d'un protocole lié à Bitcoin. Mais la blockchain Bitcoin n'a jamais été le problème. Depuis son existence, elle n'a d'ailleurs jamais été mise en défaut et reste considérée comme la blockchain la plus sûre et la plus sécurisée, notamment grâce au consensus de la preuve de travail (Proof of Work).
Pour les autres protocoles, qui utilisent notamment la preuve d'enjeu (Proof of Stake, PoS), la distinction est encore plus mince. La faille de sécurité peut directement toucher le protocole et le piratage peut compromettre l'ensemble du réseau. Mais, dans ce cas également, la technologie n'est pas en cause. En effet, il s'agit d'une négligence lors de la création du protocole. Les blockchains PoS ne sont pas sécurisées par la puissance de calcul comme pour Bitcoin, mais par des validateurs qui immobilisent les tokens de la blockchain en question. Il est techniquement plus simple de s'introduire dans ces protocoles, qui doivent donc redoubler de vigilance en ce qui concerne la sécurité.
Par exemple, dans le cas de Ronin Network cité plus haut, il n'y avait que 9 validateurs. Ce qui n'est clairement pas assez. La cause n'est donc pas l'architecture Ethereum, utilisée par Ronin, mais la sécurité même du protocole Ronin. En d'autres termes, la sécurité d'une technologie repose sur l'utilisation qui en est faite. Plus il y a d'intervention humaine, plus cette sécurité peut être compromise. C'est la raison pour laquelle Bitcoin est le protocole le plus sûr, car c'est celui qui nécessite le moins d'interventions humaines.