2025-04-04 19:19:00
Jan Philipp Fritsche, directeur général d’Oak Security, souligne l’importance pour Web3 de ne plus négliger des pratiques de sécurité opérationnelles de base, en particulier face à l’augmentation des menaces sponsorisées par des États.
Récemment, la campagne “ClickFake” de la Corée du Nord a attiré l’attention sur les cyberattaques visant les entreprises de cryptomonnaies. Selon les experts en sécurité, la plus grande vulnérabilité de Web3 ne réside pas tant dans les smart contracts, mais bien chez ses utilisateurs.
Fritsche explique que la plupart des projets blockchain n’appliquent même pas les normes de sécurité les plus élémentaires pour leurs opérations. En tant qu’ancien analyste à la Banque centrale européenne, il analyse et conseille maintenant les protocoles, mettant en avant que le véritable risque se trouve dans la gestion des appareils, des autorisations et de l’accès en production par les équipes.
« La campagne ClickFake démontre à quel point il est simple de compromettre des équipes », a-t-il déclaré. « Les projets Web3 doivent supposer qu’une grande partie de leurs employés est exposée à des menaces cybernétiques en dehors de leur environnement de travail. »
Analyse de la campagne de la Corée du Nord
Pour comprendre l’enjeu, le groupe Lazarus de la Corée du Nord utilise une stratégie cybernétique nommée “ClickFake Interview” qui cible des professionnels de la cryptomonnaie. Ce groupe usurpe l’identité de recruteurs sur des plateformes comme LinkedIn et X pour piéger les victimes à travers de faux entretiens, permettant ainsi la diffusion de logiciels malveillants.
Le malware, baptisé “ClickFix”, permet aux attaquants d’accéder à distance et de voler des données sensibles, y compris des identifiants de portefeuilles de cryptomonnaies. Les chercheurs notent que Lazarus s’efforce d’accroître sa crédibilité en utilisant des documents réalistes et en ayant des conversations d’entretien convaincantes.
Nombre de DAOs et d’équipes en phase initiale continuent d’employer des appareils personnels, souvent utilisés pour le développement ainsi que pour des discussions sur des plateformes comme Discord, les rendant ainsi vulnérables à des attaquants soutenus par un État. Contrairement aux entreprises traditionnelles, ces DAOs manquent souvent de moyens pour faire respecter des normes de sécurité.
« Il n’existe aucun moyen d’imposer une bonne hygiène de sécurité », a précisé Fritsche. « Trop d’équipes, en particulier les plus petites, négligent ce point et espèrent simplement le meilleur. »
Fritsche souligne que même l’idée qu’un appareil soit entièrement sûr peut s’avérer trompeuse. Pour des projets de grande valeur, il est essentiel que les développeurs ne puissent pas procéder à des changements en production de manière unilatérale.
« Des appareils fournis par l’entreprise avec des privilèges restreints constituent un bon début », a-t-il conseillé. « Mais il doit également y avoir des systèmes de sécurité supplémentaires : aucun utilisateur ne devrait avoir un contrôle total. »
Un point à retenir des pratiques de la finance traditionnelle ? Chaque risque doit être considéré comme réel jusqu’à preuve du contraire.
« Dans le financement traditionnel, il faut une carte d’accès juste pour vérifier sa boîte mail », a noté Fritsche. « Cette norme existe pour une raison. Web3 doit rattraper son retard. »