Si vous faites partie du nombre croissant de personnes intéressées par les crypto-monnaies, vous serez peut-être intéressé de savoir que près de 7 000 personnes ont perdu plus de 80 millions de dollars entre octobre 2020 et mars 2021 – une augmentation de 1000% par rapport à il y a un an, selon le Federal Trade Commission.
Les escroqueries comprennent de faux bureaux de change et de faux sites Web «d’investissement» vendant la devise. Plus récemment, plus de 10 millions de dollars ont été volés dans diverses crypto-monnaies dans les jours qui ont précédé l’apparition d’Elon Musk dans « Saturday Night Live ».
Et voici le hic : vous n’avez aucun moyen de protéger vos comptes contre tout vol. Dans le monde de la crypto-monnaie, il n’y a aucune garantie. Contrairement au monde bancaire traditionnel, il n’y a pas d’équivalent à la Federal Deposit Insurance Corporation pour couvrir les pertes sur votre compte. Si vos biens sont volés, vous n’avez pas de chance.
Près de 7 000 personnes ont perdu plus de 80 millions de dollars entre octobre 2020 et mars 2021 – une augmentation de 1000% par rapport à il y a un an, selon la Federal Trade Commission.
Permettre un accès sécurisé à ces actifs de crypto-monnaie est absolument essentiel pour prévenir le vol – qui, fin 2020, s’élevait à un peu plus de 10 millions de dollars par jour – et/ou le verrouillage de sa fortune potentielle.
Mais comment pouvez-vous vous assurer que les gens peuvent toujours accéder à leurs comptes ? Cela dépend de la configuration initiale des comptes, ce qui signifie généralement que des mots de passe ou une autre authentification basée sur les connaissances (KBA) sont impliqués. Malheureusement, les mots de passe ne sont tout simplement pas adaptés à la sécurisation des comptes de grande valeur, car ils peuvent être facilement compromis, que ce soit par des attaques de phishing ou un vol pur et simple.
De plus, si vous avez un portefeuille de crypto-monnaie moins utilisé, vous risquez d’oublier votre mot de passe initial et d’avoir du mal à le récupérer, s’il existe même un mécanisme pour effectuer la récupération. KBA est également en proie à des problèmes allant du manque de mémoire (quel est encore mon passe-temps préféré ?) à la grande disponibilité d’informations « personnelles » sur le web (pour quelques dollars, vous pouvez sûrement trouver le nom de jeune fille de ma mère).
Les prises de contrôle de comptes de crypto-monnaie se produisent de plus en plus fréquemment ; cela n’aide pas qu’il y ait peu de relations de confiance préétablies entre les utilisateurs et le fournisseur d’échange ou de portefeuille et que presque toutes les transactions soient finalisées en quelques minutes et ne soient pas facilement réversibles.
Malheureusement, ces prises de contrôle utilisent un modèle très similaire qui a été observé pendant des années dans le monde bancaire traditionnel : un attaquant essaiera d’abord de récolter puis de bourrer les informations d’identification volées. Si cela ne fonctionne pas – disons qu’un utilisateur a protégé son compte en exigeant un deuxième facteur SMS – il passera aux techniques populaires pour surmonter les SMS, telles que l’échange de SIM ou un service de relais SMS à 16 $ qui envoie ce code SMS à l’attaquant. smartphone, ce qui conduit à une prise de contrôle de compte « réussie ».
Même les jetons hautement sécurisés ou les applications d’authentification dédiées sont vulnérables aux attaques par rejeu d’un pirate informatique motivé – et avec des fortunes personnelles en jeu, la motivation ne manque pas.
En outre, la forte croissance du nombre d’utilisateurs d’échange de crypto-monnaie couplée à ce besoin de cybersécurité forte a entraîné des expériences de support terribles où les utilisateurs doivent attendre des semaines, voire des mois pour retrouver l’accès à leurs propres comptes – simplement parce que c’est si difficile pour prouver qu’ils en sont le propriétaire légitime.
Les meilleures pratiques d’authentification peuvent vous aider
Alors comment régler cette situation ? Avec une authentification utilisateur basée sur des normes qui s’est avérée résistante au phishing et à la prise de contrôle de compte, et qui est déjà intégrée à des milliards d’appareils dans le monde et accessible à presque tous les utilisateurs sur un navigateur moderne. Les protocoles d’authentification FIDO (Fast IDentity Online) ont été développés par un spécialiste de l’informatique, des paiements et des services aux consommateurs et garantissent que toutes les informations d’identification cryptographiques sont stockées sur l’appareil d’un utilisateur, éliminant ainsi même les attaques les plus avancées de type machine-in-the-middle.
L’échange crypto Gemini a été l’un des premiers à adopter FIDO pour son application pour smartphone et pour les utilisateurs de navigateurs, avec un pourcentage croissant de ses utilisateurs protégeant leurs comptes avec l’authentification FIDO en achetant des clés de sécurité certifiées FIDO. Il y a eu un certain nombre d’autres échanges qui ont ajouté l’authentification FIDO, comme Coinbase, qui prend également en charge les clés FIDO. Binance a FIDO pour ses versions Web, mais pas encore sur ses applications pour smartphone. Et STEX prend également en charge divers dispositifs et méthodes FIDO. Enfin, les portefeuilles matériels Ledger prennent en charge FIDO directement dans leurs appareils.
Idéalement, ce serait mieux et plus efficace s’il y avait une large acceptation de l’industrie de la crypto-monnaie de l’approche de FIDO en matière d’authentification moderne et l’adoption de plusieurs meilleures pratiques connexes, telles que :
- Standardiser les flux et les pratiques d’authentification à travers les échanges cryptographiques. Une meilleure authentification des utilisateurs devrait être une pratique standard pour tous échange, pas un différenciateur concurrentiel. Si tous les principaux échanges adoptaient les meilleures pratiques de l’industrie pour la création, la connexion et la récupération de compte, cela aiderait à protéger les clients – et leurs actifs cryptographiques collectifs.
- Exiger que les utilisateurs inscrivent plusieurs authentificateurs pour aider à la récupération de compte pour chaque échange de crypto-monnaie, qu’il s’agisse de deux clés de sécurité FIDO ou d’une clé de sécurité FIDO et d’un authentificateur biométrique. Avoir plusieurs clés de récupération de compte pour chaque échange de crypto-monnaie aidera à réduire les charges de support et à aider les utilisateurs qui perdent un appareil. Il offrira également aux utilisateurs un choix d’options d’authentification plus fortes.
- Éliminer les options de sauvegarde et de restauration moins sécurisées, tels que l’utilisation de SMS ou d’autres facteurs d’authentification basés sur les connaissances, contribueront également à améliorer la sécurité globale, en particulier pour la récupération de compte.
L’essentiel est que pour que le marché de la crypto-monnaie atteigne son plein potentiel, ses échanges doivent trouver collectivement un équilibre entre l’anonymat et la confidentialité qui rendent la crypto unique avec la sécurité des comptes et des actifs. Suivre l’exemple des échanges cryptographiques comme Gemini et permettre aux utilisateurs de verrouiller leurs comptes est un grand pas vers la protection des utilisateurs contre le phishing et les prises de contrôle de compte tout en préservant la confidentialité et la commodité.
Andrew Shikiar est CMO et directeur exécutif de l’Alliance FIDO, qui promeut le développement, l’utilisation et la conformité aux normes d’authentification et d’attestation des appareils.
