Un audit de Positive.com a révélé qu’une ICO moyenne comporte pas moins de cinq failles de sécurité. En fait, les vulnérabilités sont si fréquentes qu’une seule ICO dans leur étude ne soulevait aucun problème de sécurité.
Il convient de noter que Positive, qui se décrit comme une « plate-forme de sécurité visant à protéger les ICOs contre les cyber-attaques », se consacre à la vente de services aux ICOs. Néanmoins, ses conclusions, même si elles sont exagérées, donnent lieu à une lecture alarmante.
Près de la moitié de tous les défauts découverts ont été jugés moyens à graves. Comme le dit l’entreprise, « une seule vulnérabilité suffit pour que les attaquants volent l’argent des investisseurs et portent irrémédiablement atteinte à la réputation de l’entreprise ».
LE POT DE MIEL DES ICOs
Tant d’argent ayant été injecté dans les ICOs que les attaquer devient une tâche naturelle et productive pour les cybercriminels. Nous estimons qu’en 2017, 7% de tous les fonds collectés par les ICOs ont finalement été volés, pour un montant d’environ 300 millions de dollars.
Leigh-Anne Galloway, « Cyber Security Resilience Lead » de Positive.com souligne qu’, « à la seconde où une entreprise devient publique avec l’intention de faire une ICO », elle alerte les cybercriminels qu’elle est « à la fois précieuse et aussi dans une phase très vulnérable de sa croissance ».
Les vulnérabilités les plus courantes se sont produites dans les token smarts contrats. Positive.com rapporte que 71% des projets testés présentaient un défaut à ce stade, et identifie l’inexpérience des développeurs et le manque de tests comme étant la cause principale de ces problèmes.
La moitié des projets sondés avaient des problèmes avec leurs applications Web, ce qui les laissait vulnérables à des accès non autorisés, tandis que les défaillances au sein des applications mobiles les rendaient encore plus vulnérables. Chaque application mobile examinée par l’entreprise contenait des failles de sécurité, notamment des faiblesses exploitables dans le transfert ou le stockage des données.
INTERDIRE L’UTILISATION DE « MOT DE PASSE1 / PASSWORD1 »
Une autre source de préoccupation majeure est la faiblesse des procédures de sécurité des ICOs en ce qui concerne les comptes de courrier électronique et les médias sociaux. S’ils sont compromis, les pirates peuvent prendre le contrôle du visage public de l’entreprise. Plus inquiétant encore, si l’accès aux comptes de messagerie électronique, il est possible de réinitialiser les mots de passe du site Web et de modifier les adresses de portefeuille affichées, comme cela s’est produit dans le cas du piratage CoinDash.
Le rapport est une mise en accusation accablante de la sécurité des ICOs, mais en tant que nouvelle industrie émergente et modèle de collecte de fonds, il serait stupide de s’attendre à ce que tout soit fait parfaitement et immédiatement. Néanmoins, comme le dit Galloway, « les équipes des ICOs ont la responsabilité de veiller à ce que leur dispositif de sécurité soit aussi robuste que possible », ce qui signifie tout, en allant des contrats intelligents aux connexions Twitter.
