La sécurité des Crypto en 2016 : deux faiblesses

Bill Shihara est le PDG et cofondateur de la bourse de Cryptomonnaie Bittrex, et un ancien ingénieur en sécurité chez Amazon, Blackberry et Microsoft.

Dans cette rubrique spéciale CoinDesk 2016 in Review, Shihara passe en revue les principaux Événements de cybersécurité survenus dans le secteur cette année, en dégageant des tendances claires qui pourraient informer les entreprises et les particuliers cherchant à mieux protéger leurs fonds en 2017.

Bitfinex, la DAO, Gatecoin...

La sécurité a toujours été une préoccupation dans la communauté du Bitcoin et des Cryptomonnaie en général, et sans surprise, les attaques malveillantes contre les entreprises du secteur n'ont pas manqué en 2016.

Cette année, nous avons assisté à plusieurs piratages informatiques visant des entreprises majeures, ce qui suggère que les attaquants malveillants continueront probablement de constituer une menace pour les startups de Cryptomonnaie , mettant en danger les utilisateurs et les investisseurs de l'industrie de la blockchain.

Alors que les startups et les investisseurs se préparent pour 2017, examinons certains des incidents majeurs dans l'espoir que les pirates informatiques auront moins de chance l'année prochaine.

Premier semestre 2016 : services centralisés attaqués

Les services centralisés (ou les grands pools de cryptomonnaies) ont toujours été des cibles attrayantes pour les pirates informatiques.

Mais ce qui est remarquable, c'est que les trois plateformes d'échange de Cryptomonnaie piratées durant cette période ont été compromises par des méthodes très différentes. Je pense que cette évolution pose des problèmes aux clients qui tentent de gérer le risque lié au placement de leurs actifs numériques dans des services centralisés.

ShapeShift, par exemple, a perdu ses propres fonds à cause deplusieurs hackspar un initié, tandis que les deuxGatecoinet Bitfinex a perdu les fonds des utilisateurs à cause de piratages externes (et s'efforce de rembourser ses clients).

Nous ne pouvons cependant T oublier le plus gros piratage de l’année : le DAO.

Le DAO, un fonds de capital-risque décentralisé, a levé environ 150 millions de dollars en mars auprès d'investisseurs en monnaie numérique du monde entier.

Malheureusement, la promesse des contrats intelligents et du « code comme loi » a été mise à l'épreuve lorsqu'un pirate informatique a pu utiliser le code de la DAO pour retirer 50 millions de dollars d' Ethereum. N'oubliez pas que les contrats intelligents sont des logiciels et ne sont pas à l'abri de bugs logiques pouvant entraîner des failles de sécurité.

Tout comme lorsque vous investissez votre argent dans des échanges, vous devez réfléchir attentivement aux contrats intelligents et aux solutions décentralisées, ainsi qu’à leur fonctionnement, pour comprendre comment vos fonds sont protégés.

Deuxième semestre 2016 : personnes ciblées

Alors que les services créés dans le secteur des Cryptomonnaie ont relevé la barre en matière de sécurité, les pirates informatiques se sont tournés vers des cibles plus faciles, attaquant les utilisateurs individuels.

Même les vétérans sophistiqués de l'industrie du Bitcoin comme Bo Shenet Jered Kenna,tel que rapporté parForbes, n’étaient pas à l’abri de cette vague de piratages.

Au second semestre 2016, plusieurs acteurs du secteur des Cryptomonnaie se sont fait voler leurs numéros de téléphone. Des pirates ont réussi à manipuler les opérateurs téléphoniques et à convaincre les ingénieurs du support de transférer leur numéro vers un numéro contrôlé par le pirate.

C'est particulièrement insidieux car les SMS et les numéros de téléphone sont utilisés comme mécanisme d'authentification par de nombreux services sur lesquels vous comptez quotidiennement, tels que Google, Facebook et quelques services de Cryptomonnaie .

Dans certains cas, votre téléphone peut être utilisé comme seul facteur pour réinitialiser un mot de passe ou accéder à un compte. Votre opérateur téléphonique protège votre vie numérique avec la main-d'œuvre la moins chère possible, et ces ingénieurs support ne Réseaux sociaux T toujours leurs procédures de sécurité.

La meilleure chose à faire est de supprimer votre numéro de téléphone de tous les services auxquels il est actuellement associé. Une autre bonne pratique – bien que pas toujours infaillible car votre opérateur téléphonique peut ne pas Réseaux sociaux ses propres procédures de sécurité – consiste à définir un mot de passe pour votre compte et à exiger que tout changement de carte SIM ou d'opérateur ne soit effectué que sur présentation d'une pièce d'identité valide en magasin.

En ce qui concerne l’ingénierie sociale, faites attention à l’endroit où vous mettez vos informations d’identification et toute information vous concernant – sur LinkedIn, Facebook et Twitter, par exemple.

Les pirates peuvent collecter ces informations et les utiliser pour accéder à vos comptes par ingénierie sociale. Pensez aux réponses à vos questions de sécurité et demandez-vous si quelqu'un pourrait les déterminer en consultant votre profil Facebook.

Et, bien sûr, si vous réutilisez le même nom d'utilisateur et les mêmes mots de passe sur plusieurs sites, vous devriez envisager des alternatives. Utilisez l'authentification à deux facteurs, matérielle ou basée sur l'appareil, sur chaque site qui la prend en charge.

KEEP à l'esprit qu'il existe de faux sites conçus pour vous piéger et vous inciter à divulguer vos identifiants. Les pirates achètent régulièrement des comptes AdWords pour que leurs sites malveillants apparaissent en tête des recherches sur le web.

Perspectives pour l'année à venir : 2017

2016 a été une année importante pour les hackers, mais 2017 ne doit T forcément être ainsi.

En prêtant attention aux tendances et en protégeant vos comptes professionnels et personnels avec des mesures de protection avancées, nous pouvons tous bénéficier d’un écosystème de Cryptomonnaie plus sûr et plus sécurisé.

Mais nous n'en sommes pas encore là. En 2017, je m'attends à ce que le secteur investisse massivement dans les Technologies de Politique de confidentialité et les solutions d'identité basées sur la blockchain.

Image de craquage de coffre-fortvia Shutterstock