ICORating publie un inquiétant rapport sur la sécurité des exchanges
Les analystes et chercheurs travaillant pour ICORating ont publié un rapport alarmant sur l’état de la sécurité des exchanges. ICORating est une agence d’analyse indépendante qui effectue des recherches sur tous les aspects marché des cryptomonnaies. Elle se spécialise dans l’évaluation des ICO afin de déterminer leur potentiel en tant qu’investissement. L’exchange security report, paru en décembre 2018, analyse la sécurité des 135 exchanges les plus importants.
Un rapport alarmant
Avant d’aborder la méthodologie employée par les analystes, nous voudrions rappeler qu’en matière de sécurité informatique très peu de choses sont impossibles. Ce qui était impensable hier peut être possible demain, dès lors que de nouvelles stratégies d’attaque apparaissent continuellement. Il faut donc relativiser la portée de ce genre de rapport en ce que certaines formes d’attaque peuvent avoir été omises, et d’autres être surreprésentées.
Toutefois, les trouvailles de ces chercheurs en sécurité informatique sont des plus alarmantes. Certains exchanges bien connus pour leur sécurité à l’image de Kraken – 1er, noté A – se voient attribuer une excellente note. Tandis que d’autres, considérés leaders du marché obtiennent des résultats effarants, comme Binance – 34e, noté B+.
La méthodologie employée par ICORating
Les chercheurs ont évalué les performances en matière de sécurité informatique de 135 plateformes de négoce de cryptomonnaies. Tous les exchanges analysés ont des volumes journaliers d’échange dépassant les 100 000 $. Afin d’apprécier les performances, l’équipe s’est basée sur quatre ensembles de critères :
- la sécurité des utilisateurs,
- la sécurité des domaines,
- la protection Web
- la protection contre les attaques de déni de service.
Ces quatre ensembles ont été divisés en plusieurs sous-catégories pour donner une note finale comprise entre A+ et D –.
La sécurité des utilisateurs
Les chercheurs se sont créé un compte sur chaque exchange pour éprouver leur fiabilité. Plusieurs paramètres ont été testé, notamment, la possibilité de créer un mot de passe faible, la disponibilité de l’authentification à deux facteurs et la confirmation par mail des actions sur les marchés. Seuls 22 % des exchanges ont rempli tous les critères.
La sécurité du domaine
Les équipes ont vérifié qu’il n’existait pas de possibilités d’empoisonnement du cache DNS, mais aussi que la pérennité des noms de domaine des exchanges soit assurée et qu’il n’y ai pas de risque que quelqu’un usurpe leurs noms de domaine. Ici, seulement 3 % des exchanges ont rempli les quatre critères qui composent cette catégorie. Et, 22 % d’entre eux ont rempli moins de deux critères.
La sécurité web
Les chercheurs ont contrôlé la présence de connexion HTTPS, ainsi que la protection contre plusieurs sortes d’attaques. Parmi celles-ci nous retrouvons, les attaques MITM – Man-in-the-middle – par lesquelles l’attaquant altère la communication entre deux parties pour subtiliser des informations. La vulnérabilité aux attaques POODLE, qui exploitent les méthodes de chiffrement de certains navigateurs, et aux attaques Clickjacking, qui consistent à amener un internaute à cliquer sur quelque chose de différent que ce sur quoi il pense cliquer, ont aussi été évaluées. Tous les exchanges testés sont protégés contre les attaques POODLE et MITM. Cependant, seuls 37 % des exchanges ont des protocoles de connexion HTTPS suffisamment sécurisé.
Les attaques DoS
Enfin, en ce qui concerne les attaques de déni de service – DoS ou Denial-of-Service – 74 % des exchanges étaient suffisamment protégés contre elles.
Les résultats
Sur les 135 exchanges évalués, seuls 16 % ont obtenu la note de A – 21 exchanges -, et aucun n’a obtenu de A+. Kraken se place donc premier suivi de près par Cobinhood et Poloniex. Certaines leaders du marché, comme Binance – 34e B+ – ou OKex – 59e B – ont des résultats plus que décevants. Quand d’autres sont assurément catastrophiques, à titre d’exemple l’exchange des frères Winklevoss, Gemini, se place 84e avec une note de B – et Huobi 95e avec une note de B –.
En observant ces résultats, nous pouvons nous demander si les exchanges remplissent vraiment le contrat qu’ils ont signé avec leurs utilisateurs, celui de leur permettre de négocier des cryptomonnaies tout en assurant la sécurité de leurs fonds.
Lorsque l’on ajoute à cet audit de sécurité des plus décevants, aux rapports bien documentés sur l’amplification du volume des exchanges, force est de constater que la plupart des exchanges n’ont pas à cœur les intérêts de leurs utilisateurs, mais bien la quête du profit. Fervent adepte de la plateforme Kraken, je me félicite de savoir que l’exchange de Jesse Powell se situe pour la seconde fois d’affilée à la tête de ce classement. Tout n’est pas à jeter, mais beaucoup de choses sont à améliorer.