La blockchain a besoin de normes


L’hiver crypto 2023 a été un défi pour beaucoup, notamment pour les voleurs qui ciblent les portefeuilles cryptographiques, les plateformes et les protocoles de jetons. Jusqu’à présent cette année, ils n’ont réussi à voler qu’un milliard de dollars d’actifs cryptographiques, soit une forte baisse par rapport au record de 3,8 milliards de dollars de 2022. Malheureusement, ce déclin semble avoir davantage à voir avec une réduction du capital disponible qu’avec un renforcement des défenses. Et si l’ampleur des attaques a diminué, leur fréquence a en fait fortement augmenté : de 60 piratages en 2022 à 75 fin octobre. Et l’année n’est pas finie.

Si la finance décentralisée veut un jour être largement acceptée par les investisseurs particuliers et institutionnels, elle doit alors atteindre son objectif de démocratisation de la finance mondiale.

Nous devons collectivement faire mieux pour combler les failles par lesquelles les acteurs malveillants cherchent constamment à se faufiler.

La blockchain a besoin de normes

La clé pour verrouiller la porte contre les mauvais acteurs ? Nous devons considérablement améliorer les audits de sécurité, qui, à l’heure actuelle, sont au mieux incohérents et au pire un exercice d’approbation automatique.

Plus précisément, notre secteur dans son ensemble doit adopter une méthodologie d’audit cohérente pour les technologies décentralisées, rigoureuse, standardisée et reproductible – aussi robuste que ce qui protège la finance traditionnelle.

Une telle norme d’audit, associée à un engagement public des cabinets d’audit en faveur du principe de divulgation responsable – la volonté de dénoncer les projets qui refusent d’écouter ou de donner suite aux recommandations – encouragera les projets eux-mêmes à relever leurs normes de sécurité.

Le refus d’Atomic Wallet de tenir compte d’une divulgation publique de graves vulnérabilités de sécurité en février 2022 par l’auditeur Least Authority a entraîné une perte de plus de 100 millions de dollars au profit des pirates informatiques en juin 2023.

Au mieux, un audit de sécurité tiers est une enquête approfondie menée par une équipe qualifiée qui analyse tous les aspects de la conception et de la mise en œuvre d’un système, à la recherche de faiblesses et de failles susceptibles d’affecter les opérations ou les utilisateurs, ou d’offrir à des acteurs malveillants l’accès à des données ou à des données sensibles. actifs.

Un bon audit évalue également soigneusement si les développeurs et les concepteurs ont adhéré aux meilleures pratiques lors de la création et du déploiement d’un système.

Les vulnérabilités se présentent sous de nombreuses formes ; cryptographie incorrecte ou insuffisamment sécurisée, fuites d’informations sensibles, parties du système non protégées, incohérences entre la documentation de conception du système et le code utilisé dans la mise en œuvre.

De telles faiblesses peuvent entraîner n’importe quoi, depuis l’exposition de données utilisateur sensibles et secrètes jusqu’à la perte des actifs des utilisateurs et du système.

Que les audits soient aussi détaillés – et cohérents – que possible est donc essentiel à la fois pour un projet et pour la sécurité de ses utilisateurs.

Il existe des dizaines de cabinets proposant des services d’audit, mais en l’absence de normes industrielles, la qualité peut varier considérablement et varie effectivement. Même au sein d’entreprises réputées, il n’existe ni consensus sur ce qui doit être audité ni sur un ensemble cohérent de critères.

Bien entendu, rien ne garantit que même les auditeurs les plus expérimentés détecteront chaque faiblesse d’un système ou protégeront chaque utilisateur contre toute perte. Mais s’ils sont effectués minutieusement et régulièrement, il a été prouvé que les audits de sécurité réduisent considérablement le risque qu’une vulnérabilité grave ne soit pas détectée.

Cependant, les audits ne peuvent pas arrêter les attaques d’ingénierie sociale – celles qui impliquent la manipulation d’êtres humains – comme lorsque le groupe nord-coréen Lazarus a convaincu les ingénieurs d’un échange cryptographique non identifié plus tôt cette année de télécharger des logiciels malveillants déguisés en robot d’arbitrage. La prévention de ce type d’attaque ne passe que par la vigilance et la formation des équipes.

Il est vrai que chaque audit sera différent, tout comme chaque projet est différent.

Mais ma longue expérience dans le domaine de l’audit de sécurité m’a appris qu’il existe des étapes spécifiques qu’un auditeur doit suivre pour maximiser l’efficacité de l’audit de sécurité au profit des clients, des utilisateurs et de l’écosystème.

Quelles sont ces exigences ? Une norme d’audit visant à rendre les systèmes décentralisés plus résilients et à protéger leurs utilisateurs contre des pertes potentielles doit inclure une évaluation exhaustive des éléments suivants  :

Le modèle de menace du projet

La sécurité dès la conception

La sécurité de la mise en œuvre

L’utilisation des dépendances

Essai

Documentation du projet

La portée de l’audit et s’il est suffisant ou non.

les outils et la formation.

Hind Kurhan est co-fondatrice de Thesis Defense, une société d’audit de sécurité technologique décentralisée dont la mission est de faciliter l’adoption généralisée de technologies décentralisées en améliorant la sécurité et la cohérence des audits dans toute la sphère de la blockchain.