Récemment, des projets de loi ont été présentés au Sénat américain qui donneraient
Surveillance de la crypto-monnaie par la Commodities Futures Trading Commission (CFTC), qui les traiterait comme des marchandises numériques. Indépendamment du fait que le projet de loi devienne loi, cependant, les banques et les institutions financières devraient porter une attention particulière à la crypto-monnaie,
si ce n'est pour aucune autre raison que du point de vue de la sécurité. Après tout, certaines organisations de services financiers vendent des produits de crypto-monnaies, tels que
Service de garde de crypto-monnaie de US Bank. Mais les banques ont une raison encore plus importante de se soucier de la cryptographie. Il est clair que les États-nations s'orientent vers les monnaies numériques, certains les ayant effectivement émises, comme le
Dollar de sable des Bahamas. Même les États-Unis sont
peser sérieusement la question des CBDC et du dollar numérique. De nombreuses vulnérabilités de sécurité auxquelles les crypto-monnaies sont confrontées concerneront également les monnaies numériques des banques centrales (CBDC).
Les consommateurs qui investissent dans la crypto stockent souvent leurs crypto-monnaies dans un portefeuille numérique qui existe sous forme d'application mobile sur leur smartphone. Les cybercriminels en sont bien conscients, ce qui signifie qu'ils sont des cibles tentantes pour les attaques. Et, comme toute application, il existe une myriade de méthodes
pour attaquer un portefeuille crypto, mais d'après mon expérience de travail avec la crypto et en tant que professionnel de la sécurité, garantir que l'application est sécurisée contre ces cinq attaques les plus courantes augmentera considérablement la protection offerte aux consommateurs.
Voler des clés et des mots de passe
Le chiffrement des clés au niveau de l'application est un must absolu. Si les clés ne sont pas chiffrées dans les zones de préférence, le bac à sable de l'application, la carte SD ou dans des zones externes telles que le presse-papiers, les pirates pourront les voler. Une fois
ils ont les clés, ils peuvent faire ce qu'ils veulent avec les fonds du portefeuille.
Si elles sont chiffrées au niveau de l'application, même si l'appareil lui-même est compromis, les clés resteront en sécurité.
Attaques dynamiques sur les clés privées
Les clés et les phrases de passe d'un portefeuille crypto peuvent également être volées de manière dynamique, ce qui signifie qu'elles sont en quelque sorte interceptées lorsque le propriétaire du portefeuille saisit les caractères de la clé ou de la phrase de passe dans l'application mobile du portefeuille crypto. Les pirates utilisent généralement l'une des trois méthodes
pour faire ça:
-
Attaque par-dessus l'épaule : Historiquement, cela fait référence à un pirate qui est physiquement et subrepticement suffisamment proche d'un utilisateur pour le voir entrer la phrase de passe dans le portefeuille crypto. Mais aujourd'hui, il n'est pas nécessaire d'être là dans la chair. Captures d'écran et écran
l'enregistrement peut être abusé à cette fin. -
Logiciels malveillants d'enregistrement de frappe : ici, les logiciels malveillants s'exécutent en arrière-plan sur l'application pour capturer chaque frappe et les envoyer aux cybercriminels. L'enracinement (Android) et le jailbreak (iOS) du smartphone rendent l'enregistrement de frappe encore plus facile à réaliser.
-
Attaque par superposition : dans ce cas, le logiciel malveillant place un écran, qui peut sembler authentique ou être transparent, qui incite le propriétaire du portefeuille cryptographique à saisir des informations d'identification soit dans un champ à l'intérieur de l'application du portefeuille, soit sur un écran malveillant. Le logiciel malveillant transmet soit
les informations directement aux cybercriminels ou prend directement le contrôle du portefeuille pour transférer les fonds du portefeuille aux pirates.
Pour se défendre contre ces menaces, l'application doit détecter l'enregistrement des frappes, les superpositions et l'enregistrement, afin qu'elle puisse agir directement en avertissant le propriétaire du portefeuille ou même en fermant complètement l'application.
Instrumentation malveillante
La sécurité d'un portefeuille mobile dépend de l'intégrité de la plate-forme qui l'exécute, car si l'appareil est rooté ou jailbreaké, ou si des pirates abusent d'outils de développement comme Frida, ils peuvent accéder à l'adresse blockchain de l'application cliente. Ils
peuvent même se faire passer pour l'application pour effectuer des transactions par eux-mêmes. Les applications mobiles de portefeuille cryptographique doivent être en mesure de dire quand elles fonctionnent dans un environnement rooté ou jailbreaké afin qu'elles puissent, si nécessaire, s'arrêter pour protéger l'utilisateur. Ils doivent également pouvoir
pour bloquer Magisk, Frida et d'autres outils d'analyse et d'instrumentation dynamiques qui peuvent être abusés pour compromettre l'intégrité des fonctions critiques.
Tout aussi important, les développeurs doivent obscurcir le code de l'application afin que les pirates aient beaucoup plus de mal à rétro-concevoir le fonctionnement interne et la logique de l'application.
Attaques de l'homme du milieu (MitM)
De nombreux portefeuilles cryptographiques font partie d'échanges qui peuvent être décentralisés ou centralisés. Dans les deux cas, les communications sont ouvertes aux attaques MitM lorsque l'application communique avec un serveur ou lors de transactions peer-to-peer. Les données en transit doivent être protégées par
Le cryptage AES-256 et la couche de socket sécurisée (SSL) / la sécurité de la couche de transport (TLS) doivent être strictement appliquées pour toutes les communications.
Emulateurs
Les pirates sont également capables de créer des versions modifiées des applications de portefeuille cryptographique. Ils peuvent également utiliser ces applications modifiées avec des simulateurs et des émulateurs pour créer des comptes frauduleux, effectuer des transactions frauduleuses et transférer de la crypto-monnaie.
Les méthodes d'autoprotection des applications d'exécution (RASP), et plus particulièrement l'anti-falsification, l'anti-débogage et la détection d'émulateur, sont la clé pour contrecarrer ce type d'attaques.
Même pour les institutions financières qui ne sont impliquées dans aucun type de services de crypto-monnaie, il est important de tirer des leçons des défis de sécurité auxquels les utilisateurs sont confrontés, en particulier en ce qui concerne les portefeuilles crypto. Le « dollar numérique » n'est peut-être pas aussi loin que nous le pensons,
et les institutions qui sont prêtes à fournir des portefeuilles mobiles sécurisés aux CBDC auront un avantage concurrentiel important.
- fourmi financière
- blockchain
- conférence blockchain fintech
- carillon fintech
- coinbase
- cognitif
- crypto conférence fintech
- FinTech
- application fintech
- innovation fintech
- Fintextra
- OpenSea
- PayPal
- technologie payante
- voie de paiement
- Platon
- platon ai
- Intelligence des données Platon
- PlatonDonnées
- jeu de platogamie
- rasoir
- Revolut
- Ripple
- fintech carré
- bande
- fintech tencent
- photocopieuse
- zéphyrnet
