Article publié dans l'édition Automne 2019 de Gestion

L’envolée spectaculaire de la valeur du Bitcoin en 2017 a attisé l’intérêt des investisseurs pour les cryptomonnaies. Elle a aussi mis l’eau à la bouche des cybercriminels, qui tablent sur les failles technologiques et sur les connaissances fragmentaires des investisseurs pour les escroquer. Examen des risques associés à ces devises numériques.

En décembre 2017, la valeur d’un Bitcoin a frôlé les 20 000 $ US (26 146$ CA), alors qu’elle plafonnait à 950 $ US (1 242 $ CA) à peine douze mois plus tôt. Alléchés par une telle croissance, bien des investisseurs ont misé sur l’une ou l’autre des quelque 2 500 cryptomonnaies en circulation… sans toujours bien comprendre dans quoi ils s’embarquaient. « Le plus grand risque réside dans l’incompréhension des outils servant à l’échange et à la détention de ces actifs », avertit Hugo Levasseur, architecte solutions chez SAP Canada.


LIRE AUSSI : « Fraudes financières et dirigeants d'entreprise : les leçons à tirer »


Les expériences encore très récentes des cryptomonnaies ont révélé de graves problèmes de sécurité et de gouvernance. Trois faiblesses notables viennent immédiatement à l’esprit à la lumière des incidents répertoriés : les vulnérabilités du protocole de cette technologie, les menaces que représente le piratage de la plateforme d’échanges et les risques associés à la gestion du portefeuille.

Les lacunes du protocole

Le protocole est en quelque sorte la méthode de création et de gestion d’une cryptomonnaie. Lorsque l’on se procure des unités d’une monnaie virtuelle, on hérite de toutes ses vulnérabilités technologiques. Le choix de la cryptomonnaie est donc crucial.

« On entend souvent dire qu’il est impossible de pirater la technologie de la chaîne de blocs [voir encadré ci-dessous], mais ce n’est pas aussi simple que ça », prévient Charles McFarland, chercheur principal en cybermenaces chez l’éditeur de logiciels de sécurité informa- tique McAfee. Il donne l’exemple de la cryptomonnaie Iota, dont les instigateurs avaient décidé de programmer leur propre cryptographie1. Or, des failles dans leur approche ont permis à des cyberpirates de dupliquer des portefeuilles d’utilisateurs et de produire de fausses signatures pour ainsi dérober de nombreuses unités d’Iota.

Définition de la chaîne de blocs

Une chaîne de blocs enregistre tous les échanges entre les participants d’un réseau sur une liste où chaque transaction, dotée d’une signature cryptée, est irrévocable. Horodatée, chaque inscription renvoie aux transactions précédentes. Quiconque en détient les droits d’accès peut examiner n’importe quelle transaction, à n’importe quel moment, pour un participant donné. La chaîne de blocs constitue une des manières de structurer les données selon le principe des registres distribués. Les cryptomonnaies reposent sur la technologie de la chaîne de blocs.

Une devise virtuelle est également vulnérable à une attaque dite « des 51 % ». Pour qu’un échange de cryptomonnaies soit enregistré, un ensemble d’« explorateurs de données » (data miners en anglais) doivent la valider (de deux à cinq selon les cryptomonnaies). Après avoir autorisé une transaction, ces explorateurs de données créent un bloc d’information validée qui s’ajoute à la chaîne de façon définitive. Si une erreur est introduite par un  explorateur de données, les nombreux autres la corrigeront.

Par contre, si un groupe d’explorateurs de données réussissait à maîtriser 51 % de la puissance de calcul du réseau d’une cryptomonnaie (ce qui équivaudrait à contrôler 51 % de la capa- cité d’autorisation des transactions), il serait théoriquement possible de tricher et d’introduire de fausses transactions, puisque plus de la moitié des explorateurs de données valideraient le bloc de transactions frauduleux. Résultat : on pourrait par exemple dépenser deux fois la même unité d’une monnaie.

Les cryptomonnaies comptant moins d’unités en circulation et faisant l’objet de moins de transactions sont davantage vulnérables à ce type d’attaques, puisque la puissance de calcul totale de leur réseau est plus faible. En avril 2018, un cyberpirate a détourné 250 000 unités de Verge Currency, une cryptomonnaie créée en 2014 et renommée sous cette appellation en 2016, grâce à cette méthode. En juin 2014, le consortium d’explorateurs de données Ghash.io a brièvement détenu 51 % de la puissance du réseau Bitcoin, créant ainsi, ne fût-ce qu’un court moment, les conditions rendant possible une telle attaque.

Ce risque est devenu moins grand aujourd’hui. « La puissance de calcul du réseau Bitcoin est actuellement à un sommet historique, rappelle Elisabeth Préfontaine, fondatrice d’Octonomics, une firme de recherche indépendante en technologies financières. À l’heure actuelle, près de 69 quintillions de fonctions de hachage2 sont réalisées toutes les secondes. C’est dix fois plus que le nombre de grains de sable estimé sur la Terre. Une attaque “des 51 %” est donc peu probable dans le cas du Bitcoin. »

Des malfaiteurs utilisent également des logiciels malveillants pour infecter des ordinateurs et pour en prendre le contrôle à l’insu de leur propriétaire : il devient ainsi possible de créer des unités de cryptomonnaies et de s’en emparer de façon frauduleuse. D’autres ont recours à des méthodes moins sophistiquées. Ainsi, en mars 2018, onze Islandais ont été arrêtés pour avoir volé plus de 600 ordinateurs utilisés pour créer des Bitcoins et autres devises virtuelles dans un centre de données.

Des espaces d’échange fragiles

La firme française Cryptolia dénombre plus de 175 plateformes d’échange de cryptomonnaies. Certaines d’entre elles ont révélé de graves lacunes en matière de sécurité. Ciphertrace, une firme spécialisée dans la conception et le développement de pratiques sécuritaires dans le secteur des cryptomonnaies, évalue à un milliard $ US (1,3 milliard $ CA) les sommes dérobées sur ces plateformes en 2018.


LIRE AUSSI : « Dossier condamnés à la cyberfragilité - La fraude à l'ère numérique »


Particulièrement spectaculaire, le vol de 530 millions $ US (693 millions$ CA) sur la plateforme Coincheck3 a été qualifié de « cambriolage du siècle ». Ces plateformes peuvent être privées ou distribuées. Les premières possèdent leur propre structure et gèrent elles-mêmes les échanges. Elles doivent faire face aux mêmes menaces que tout autre plateforme transactionnelle en ligne et prennent les moyens nécessaires pour se protéger.

Les secondes reposent sur un fonctionnement décentralisé : le registre de données existe dans une multitude de serveurs et le pouvoir d’autorisation des transactions est accessible à tous.

« Les plateformes distribuées sont plus complexes, explique Hugo Levasseur. Elles utilisent des technologies moins éprouvées et plus vulnérables que des structures centralisées. » En juin 2016, lors d’un cas devenu célèbre, un cyberpirate a profité d’une faiblesse dans le code de gestion de la sortie des fonds en cryptomonnaie Ethereum de la plateforme The DAO, elle-même fondée sur les contrats intelligents4, pour subtiliser trois millions d’Ethereum (environ 65 millions$ CA).

Certaines plateformes d’échange offrent uniquement le service transactionnel d’achat et de vente, alors que d’autres proposent un service de garde des cryptomonnaies. « Dans le premier cas, on gère soi-même la clé privée à l’aide d’un portefeuille électronique, indique Elisabeth Préfontaine. Dans le second cas, la plateforme gère la clé privée pour son client. Ce n’est pas sans risque, car la plateforme peut être piratée, la gestion des flux de trésorerie peut laisser à désirer et la séparation de la cryptomonnaie détenue par les clients par rapport aux capitaux propres de la plateforme peut s’avérer déficiente. »

Il est même parfois difficile de savoir si une plateforme d’échange a bel et bien en sa possession toute la cryptomonnaie qu’elle prétend détenir au nom de ses clients. « Afin de réduire ce risque, les plateformes qui veulent offrir un service de garde de cryptomonnaies devront intégrer des innovations technologiques afin de prouver qu’elles possèdent bel et bien les réserves qu’elles affirment détenir, sans toutefois en divulguer le montant », poursuit la consultante. Des innovations récentes en cryptographie devraient les aider à établir des protocoles automatisés pour y arriver.

Profitez d'un rabais de 50% sur l'ensemble des abonnements de la Revue Gestion avec le code de réduction CYBER50

Une gestion risquée du portefeuille

Un portefeuille de cryptomonnaies est en fait un logiciel qui conserve les clés nécessaires pour utiliser et échanger ces devises. Il peut être « froid », c’est-à-dire hors ligne, ou « chaud », c’est-à-dire connecté à Internet. Il est recommandé de limiter la quantité d’actifs dans un portefeuille « chaud » à ce qui est nécessaire aux transactions courantes et de conserver le reste dans un portefeuille « froid ».

« La gestion et la manipulation d’une cryptomonnaie sont risquées pour les gens, admet Louis Roy, associé en certification chez Raymond Chabot Grant Thornton et président de la filiale Catallaxy. Par exemple, si quelqu’un perd sa clé privée, il n’aura plus accès à ses actifs. Ce n’est pas comme égarer sa carte de guichet, qu’on peut facilement faire remplacer. »

Louis Roy voit des investisseurs conserver des centaines de milliers de dollars en cryptomonnaie sur leur téléphone intelligent. En plus du risque d’en perdre l’accès, ils courent celui d’être la cible de cyberpirates, qui utilisent diverses méthodes d’hameçonnage. Par exemple, ils envoient des courriels dont l’apparence graphique et le libellé du texte s’apparentent parfaitement à ceux de la plateforme utilisée par l’investisseur afin d’obtenir les informations confidentielles à propos du portefeuille convoité, ils prétendent qu’il faut télécharger une nouvelle version du logiciel (qui est en fait un logiciel malveillant) ou ils offrent carrément d’acheter des unités d’une nouvelle cryptomonnaie… qui n’existe pas.


LIRE AUSSI : « Dossier Condamnés à la cyberfragilité - Cybersécurité : partager ou protéger les connaissances ? »


D’autres investisseurs se fient à des tiers pour gérer leurs actifs en devises virtuelles. « Dans certains cas, la perte d’actifs est liée non pas à une attaque mais à un problème de gestion ou à une fraude », rappelle Louis Roy. Il cite le cas de Quadriga, la plus grande plateforme d’échange de cryptomonnaie au Canada avant la mort de son fondateur, Gerald Cotten, en décembre 2018. Comme cet homme d’affaires était le seul à détenir la clé privée autorisant l’accès à plus de 250 millions$ CA conservés dans un portefeuille hors ligne (« froid »), environ 115 000 clients ont vu leurs fonds devenir subitement inaccessibles.

« Comment expliquer qu’un dirigeant d’entreprise puisse détenir des millions de dollars de ses clients à lui tout seul, sur son ordinateur personnel ?, demande Louis Roy. Pour améliorer la cybersécurité dans le secteur des cryptomonnaies, il faudra stimuler les innovations technologiques et mieux informer les utilisateurs, mais des questions d’encadrement réglementaire se posent aussi. »

C’est d’autant plus important sachant que les actifs en cryptomonnaies ne sont pas assurés comme le sont les investissements traditionnels et les dépôts bancaires. Les sommes perdues sont rarement récupérées. Les investisseurs doivent donc bien comprendre les risques avant de se lancer dans cette aventure.


Notes

1 La cryptographie est un ensemble de procédés visant à crypter des informations pour en assurer la confidentialité entre l’émetteur et le destinataire. On s’en sert par exemple dans les adresses « https » destinées à assurer la confidentialité des transactions en ligne.

2 La fonction de « hachage » est utilisée en informatique et en cryptographie, par exemple pour reconnaître rapidement les mots de passe. Elle calcule une empreinte numérique à partir d’une donnée fournie en entrée pour reconnaître la donnée initiale. Cela équivaut en gros à utiliser une signature pour identifier une personne.

3 Coincheck a par la suite été vendue à Monex pour 34 millions $ US (44,5 millions$ CA).

4 Un contrat intelligent est en quelque sorte l’équivalent informatique d’un contrat traditionnel. Il exécute automatiquement des conditions définies au préalable et inscrites dans une chaîne de blocs.