Cybersécurité: on manque cruellement d'experts pour contrer les hacks dans les cryptos

Bien que la blockchain soit bâtie sur des bases de sécurité qui se veulent solides, "le web 3 n'est pas à l'abri d'acteurs malveillants", révèle une étude publiée ce mercredi par KPMG. Alors que des attaques se faisaient d'abord au départ sur des plateformes d'échanges de cryptos centralisées (CeFi), elles semblent désormais se concentrer dans un secteur: celui de la finance décentralisée.

Pour rappel, la finance décentralisée (DeFi) est un système financier ouvert, accessible à n'importe quel utilisateur, qui permet de réaliser certaines opérations de la finance traditionnelle, comme des prêts. Les plateformes décentralisées (qu'on appelle aussi DEX pour "decentralized exchanges") permettent d'effectuer des transactions de cryptos de pair à pair sans passer par un tiers de confiance. On peut par exemple citer Bitsquare, Uniswap ou PancakeSwap. Inversement, les plateformes centralisées (ou CEX pour "centralized exchanges") opèrent les transactions via leurs propres serveurs et un carnet d'ordres centralisé. On peut par exemple citer Binance, Coinbase ou encore Coinhouse.

Entre 2012 et 2022, près de 2,66 milliards de dollars ont été volés sur les plateformes d’échanges de cryptomonnaies centralisées. Par exemple, en janvier, la plateforme centralisée Crypto.com a été victime d'un hack ayant affecté 483 utilisateurs. De même, fin avril, la bourse chinoise Hotbit a également été victime d'un hack, les attaquants ayant pris pour suivre ses wallets (portefeuilles électroniques).

A côté de ça, rien qu'au premier trimestre de cette année, 1,2 milliards de dollars de cryptomonnaies ont été volés dans la finance décentralisée, selon les chiffres de la plateforme Immunefi. Un chiffre en augmentation de 692% par rapport au premier trimestre 2021. Parmi les plus gros hacks de l'histoire de la DeFi, on peut citer le "Ronin Network" où 624 millions de dollars ont été volés sur la sidechain d'Ethereum Ronin d'Axie Infinity ou encore le hack de Poly Network où 611 millions de dollars ont été dérobés sur la plateforme.

La DeFi monte en puissance depuis plusieurs mois: au premier trimestre, le montant total d’argent bloqué dans les protocoles de DeFi représente 10,6% de l'ensemble du marché des crypto-monnaies. Un vrai butin donc, pour des hackers. Les attaquants visent tout: les smart contrats, les portefeuilles des utilisateurs, les infrastructures des blockchains. Dès qu'ils repèrent la moindre faille dans un système, ils décident de les attaquer.

Or, malgré des attaques de plus en plus sophistiquées, KPMG a constaté qu'il n'y a toujours pas assez d'experts compétents pour y faire face. En effet, si des outils automatisés (tels que le fuzzing) ont été mis en place pour prévenir certaines attaques, l'analyse humaine reste primordiale.

"Nous avons fait un constat simple, de plus en plus de projets cryptos se font hacker. Des sociétés crypto peuvent attendre des mois avant de pouvoir faire auditer leurs smart contrats par des entreprises d’audit spécialisées en sécurité crypto, explique à BFM crypto Karolina Gorna, ingénieure en cybersécurité et blockchain chez KPMG, et co-autrice de l'étude.

"Si on n’augmente pas le nombre d’experts, les hacks vont augmenter"

Si le premier cabinet d'audit spécialisé en sécurité crypto a été créé en 2012, et que la tendance s'accélère depuis 2017, il n'existe à ce jour que 1.105 experts capables de faire des audits pour vérifier des projets crypto. La plupart des experts se concentrent aux Etats-Unis (410) et en Inde (170), l'Europe (40) étant largement à la traîne dans ce domaine.

"Si on compare le nombre d’auditeurs par rapport au nombre de développeurs qui codent des smart contrats, il y a 5 à 8 auditeurs pour 100 développeurs. Il y a un déséquilibre avec un besoin qu’il y ait plus de personnes", souligne Karolina Gorna.

Il existerait à ce jour 18.000 développeurs actifs mensuels qui travaillent sur des projets dits en open source, tels que les blockchains Bitcoin et Ethereum. Dans ce contexte, KPMG considère qu'il n'y a "pas assez de spécialistes qui sont capables d’auditer des projets cryptos. Cela explique le fort nombre de hacks qui ont eu lieu en ce moment. Si on n’augmente pas le nombre d’experts, les hacks vont augmenter."

L'étude revient sur de nombreuses attaques classiques dans l'écosystème, à l'instar des attaques dites de "prêts flash", (NDLR: un prêt sans garantie qui doit être remboursé avant la fin de la transaction) où "les attaquants utilisent ces prêts pour obtenir les fonds nécessaires afin d'exploiter la vulnérabilité d'un contrat intelligent" ou encore l'attaque des 51%, "qui se produit lorsqu'un seul acteur malveillant prend le contrôle de plus de la moitié de la puissance de validation d'une blockchain et peut imposer sa propre version de la blockchain. L'attaquant peut alors être en mesure d'annuler une transactions récente".

Par ailleurs, alors que de plus en plus de grandes entreprises (luxe, sport...) se lancent dans les cryptomonnaies, elles ne maitrisent pas encore les sujets de cybersécurité, considère KPMG. Pour les auteurs de l'étude, les responsables de la sécurité des système d’information (RSSI) ont un vrai rôle à jouer au sein de ces entreprises.

"Si on touche au secteur crypto, on va avoir des nouveaux risques qui vont être créés, le RSSI va devoir définir des nouveaux scénarios de protection dans les entreprises. A plus long terme, on pense que le RSSI devra conseiller les équipes métiers car la crypto amène du risque technique et on pense que ce sera la personne qui devra gérer toutes ces questions-là", conclut l'experte.