Le Web de nouvelle génération – Web3 – a été salué comme plus sûr que l’incarnation actuelle du cyberespace, mais un rapport publié mardi avertit que cela pourrait ne pas être le cas.
Alors que le Web3 peut être difficile à subvertir au niveau de l’infrastructure, il existe d’autres points d’attaque qui peuvent offrir aux acteurs de la menace plus de possibilités de méfaits que ce que l’on peut trouver dans l’ancien Web, selon le rapport de Forrester, une société nationale de recherche technologique.
Les applications Web3, y compris les NFT, ne sont pas seulement vulnérables aux attaques ; elles présentent souvent une surface d’attaque plus large que les applications conventionnelles en raison de la nature distribuée des blockchains, rapporte Forrester.
De plus, les applications Web3 sont des cibles intéressantes car les jetons peuvent valoir des sommes d’argent considérables.
L’ouverture de Web3, qui est censée être l’un de ses principaux avantages, peut également être un inconvénient. “Le code qui s’exécute sur une blockchain publique est facilement accessible, par toute personne possédant les compétences techniques requises, de n’importe où dans le monde – il n’est pas nécessaire de pénétrer les défenses de l’entreprise pour y accéder”, a observé Martha Bennett, vice-présidente et analyste principale de Forrester, qui est également co-auteur du rapport.
Le code source est également facilement accessible, car il est mal vu d’utiliser des “contrats intelligents” fermés. L’éthique du Web3 est, après tout, le ‘code ouvert’ “, a-t-elle déclaré à TechNewsWorld.
Complexité indésirable
David Rickard, directeur technique pour l’Amérique du Nord chez Cipher, une division de Prosegur, une société de sécurité multinationale, a expliqué que Web3 est basé sur le contrôle distribué des données et de l’identité par ses utilisateurs.
“Cela élargit la surface d’attaque à des individus qui ne veulent pas ou ne peuvent pas gérer leurs propres données et leur identité, apportant une complexité technique à un domaine qui souhaite avant tout être ‘facile à utiliser'”, a-t-il déclaré à TechNewsWorld.
“Les individus, qui vont au-delà de la messagerie texte, de l’email et du défilement des médias sociaux et des applications d’achat, représentent un véritable défi pour eux”, a-t-il ajouté.
L’idée du Web3 de rendre le code transparent et accessible au public a peu de chances de gagner une réelle traction, a-t-il maintenu. “Entre les investisseurs en capital et les utilisateurs de systèmes financiers blockchain et de NFT, il y a trop d’argent en jeu”, a-t-il déclaré.
Rendre le code transparent et public peut également élargir la surface d’attaque de manière évidente, a-t-il poursuivi. “Les pratiques de codage sécurisées qui prévoient la manière dont quelqu’un peut utiliser un système à des fins malveillantes ne sont pas très répandues”, a-t-il expliqué. “Il n’est pas facile de prévoir comment les gens peuvent utiliser les systèmes à des fins autres que celles prévues.”
“La plupart des pertes financières concernant la blockchain et les NFT exploitent non pas l’objet immuable lui-même mais les manipulent en exploitant les applications qui peuvent les impacter”, a-t-il déclaré.
En outre, si les systèmes hérités peuvent être anciens, ils peuvent aussi être robustes. “Ce qui est nouveau a aussi tendance à être le moins sûr”, a déclaré Matt Chiodi, directeur de la confiance chez Cerby, fabricant d’une plateforme de gestion de l’informatique fantôme, à San Francisco.
“Bien que le temps ne soit pas toujours un ami de la sécurité, il permet à une application d’être mise à l’épreuve”, a-t-il déclaré à TechNewsWorld. “Web3 n’est pas différent. Il est nouveau et très peu testé. Les anciennes applications ont l’avantage du temps. Ce n’est pas le cas de Web3”.
NFT devient une cible populaire
Indépendamment du fait que le code soit visible et accessible, le rapport a noté que les attaquants trouveront les points faibles. Il explique que, même s’il est tentant de penser que les attaques contre les contrats intelligents et les portefeuilles de crypto-monnaies sont confinées au Far West de la finance décentralisée, les projets NFT sont de plus en plus souvent une cible privilégiée.
“Pourquoi opter pour un piratage plus difficile s’il existe des moyens plus faciles d’obtenir ce que vous voulez ?” a demandé Bennett. “Comme tout autre lieu où la valeur est échangée, [NFT] les places de marché et les outils de communication attirent ceux qui veulent voler ou subvertir les règles d’une autre manière. “
“Dans tout ce qui a trait au Web3, la vitesse est essentielle, et beaucoup de ceux qui sont impliqués n’ont pas l’expertise requise même pour évaluer ce qui pourrait être un problème de sécurité potentiel”, a-t-elle ajouté. “Parfois, les startups ne passent même pas d’annonce pour un responsable de la sécurité avant que quelque chose de grave ne se produise.”
L’une des plus grandes brèches d’une place de marché NFT s’est produite en juin chez OpenSea, qui a exposé quelque 1,8 million d’adresses électroniques. “Dans ce cas particulier, il s’agissait d’une menace interne, mais les applications traitant des transactions peuvent être très vulnérables”, a observé M. Rickard.
Il peut y avoir des centaines de milliers de façons de les utiliser à mauvais escient que les codeurs doivent essayer…”.Pourtant, il suffit qu’un pirate découvre un seul vecteur, une seule fois, pour qu’une violation se produise”, a-t-il déclaré.
Hangout pour les escrocs
Forrester a également indiqué que Discord, un réseau de médias sociaux, est devenu un point faible majeur de NFT et d’autres projets de blockchain publics. Les attaques d’hameçonnage réussies sur Discord sont à l’origine de nombreux vols de NFT, si ce n’est de la plupart, poursuit le rapport.
Elle explique que les attaques visent généralement les gestionnaires de communauté et les administrateurs. Une fois qu’un compte d’administrateur a été pris en charge avec succès, les attaquants ont la possibilité de voler à grande échelle, car les utilisateurs ont tendance à faire confiance aux messages des administrateurs de la communauté.
Discord a été conçu avant tout pour être un forum de communication pour les joueurs, et non un lieu pour détenir et échanger de la valeur, a noté Bennett, et il a des mécanismes en place pour atténuer les risques. “Mais ces mécanismes ne peuvent être utiles que s’ils sont appliqués, et il est clair que trop souvent, ils ne le sont pas “, a-t-elle ajouté.
“De plus, a-t-elle ajouté, étant le mécanisme de communication privilégié des projets de jetons, Discord attire une part proportionnelle d’attaques de phishing et de messages d’escroquerie.”
Rickard a maintenu que les communautés Discord constituent une riche source d’informations pour les escrocs, ainsi que pour les investisseurs. “La récolte des coordonnées des participants conduit au phishing”, a-t-il déclaré. “Les piratages de portefeuilles numériques ne sont pas inhabituels”.
“Les bots Discord ont été piratés afin que les acteurs de la menace puissent poster de fausses offres de monnayage, ce qui entraîne le vol de crypto-monnaies”, a-t-il ajouté.
Une meilleure sécurité que le Web traditionnel ?
Dans le monde rapide du Web3, il est tentant d’ignorer la sécurité pour innover rapidement, mais les problèmes de sécurité publique peuvent facilement faire dérailler un lancement majeur ou ralentir l’équipe produit en la forçant à analyser et à atténuer les failles de sécurité critiques, selon le rapport de Forrester.
Les entreprises peuvent identifier les risques et protéger les composants décentralisés et centralisés de leurs applications Web3 en impliquant leurs équipes de sécurité, non seulement dans le cycle de développement du logiciel, mais tout au long du cycle de vie du produit, ajoute le rapport.
“Web3 doit se recentrer sur la gauche, c’est-à-dire rapprocher la sécurité des développeurs autant que possible et faire de la prévention l’objectif final”, a observé M. Chiodi. “Sans cette orientation, Web3 ne finira pas différemment de Web2, ce qui serait dommage étant donné son énorme potentiel, notamment autour de l’identité décentralisée.”
“L’approche distribuée de Web3 fournit différents types de capacités de sécurité, mais les problèmes fondamentaux restent les mêmes”, a ajouté Mark Bower, vice-président pour les produits chez Anjuna, une société d’informatique confidentielle, à Palo Alto, en Californie.
“Si un attaquant obtient l’accès à des informations d’identification, à des privilèges de niveau racine ou à des clés – en particulier des clés privées qui s’appliquent à l’ensemble de l’écosystème”, a-t-il déclaré à TechNewsWorld, “la partie est terminée, tout comme elle le serait dans une plate-forme centralisée.”
