Les escroqueries par hameçonnage se poursuivent à l'ère du Web3

Il y a beaucoup de buzz ces jours-ci autour de l’essor des technologies Web3 qui utilisent les technologies blockchain pour créer des instances immuables de données pouvant être partagées et consultées sur des réseaux décentralisés. Plutôt que de devoir faire appel à des services centralisés créés à l'aide des technologies Web 2.0, il s'agit de sécuriser davantage les données sans avoir à utiliser des services cloud centralisés contrôlés par une poignée d'entités désormais monumentales.

Toutefois, aussi noble que soit cet effort, l'accès aux plateformes Web3 se fait toujours à l'aide de plusieurs types d'identifiants. De ce fait, elles peuvent être visées par des variantes des attaques par hameçonnage qui sévissent actuellement sur les plateformes Web 2.0. Microsoft, par exemple, a publié une alerte expliquant comment les clés de chiffrement utilisées pour accéder aux plateformes Web3 peuvent être compromises via l'usurpation de l'identité des utilisateurs de portefeuilles numériques, le déploiement de malwares sur les appareils des victimes, le typosquattage de l'interface d'un smart contract légitime ou la fabrication de jetons numériques frauduleux pour des scams de type Airdrop, lorsque les utilisateurs cherchent à connaître la provenance d'un jeton mystérieux et que le pirate en profite pour leur voler leurs informations d'identification.

Collectivement, ces techniques dites « d'ice phishing » incitent d'une manière ou d'une autre les utilisateurs finaux à approuver une transaction donnant subrepticement le contrôle d'un jeton à un cybercriminel.

Des milliards de dollars sont déjà investis dans la recherche et le développement du Web3. Le terme Web3 a été inventé par le fondateur de Polkadot et cofondateur d'Ethereum, Gavin Wood, en 2014. Le Web3 décrit essentiellement tout échange d'actif numérique qui n'implique aucune autorité centrale. L'entité qui gère l'échange d'actifs numériques est une organisation autonome décentralisée (DAO). Le principe n'est pas tant de supplanter le cadre existant du Web 2.0 que d'ajouter un cadre distinct qui donne aux utilisateurs et aux entreprises un plus grand contrôle non seulement sur les transactions, mais aussi sur les données, alors que les services Internet centralisés deviennent de moins en moins nécessaires.

La décentralisation s'effectue grâce à une plateforme blockchain qui fournit à chaque membre d'un réseau une copie exacte des données via un registre distribué. En cas d'altération ou de corruption d'un registre, il est automatiquement rejeté par les autres registres du réseau. Chaque entité du réseau a accès à une vue partagée en temps réel des données stockées dans le registre.

L'un des principaux avantages de la décentralisation, c'est qu'elle réduit la dépendance à l'égard d'une plateforme spécifique qui pourrait entraîner des pannes et des goulots d'étranglement systémiques. Elle optimise également la distribution des ressources pour des performances améliorées, une meilleure cohérence et une expérience globale plus sûre des applications. Il reste toutefois quelques défis à surmonter. Les plateformes blockchain, par exemple, consomment de grandes quantités d'énergie. Toute approche de la décentralisation devra donc être alignée sur les politiques et les exigences en matière de changement climatique.

Elles peuvent également être utilisées pour financer un large éventail d'activités illicites qui rendent beaucoup plus difficile le suivi des paiements financiers par les services répressifs. Ce n'est pas un hasard si les cybercriminels exigent que les paiements de rançon soient effectués à l'aide de cryptomonnaies.

Quelle que soit la plateforme, les techniques d'hameçonnage employées par les cybercriminels pour compromettre les identifiants seront adaptées. Ce qu'il faut retenir, c'est que quelle que soit la qualité d'une plateforme, la sécurité ne sera jamais parfaite.