Sécurité – Seulement 6 wallets crypto ont recours au test dit « d’intrusion » !
Dans un rapport d’évaluation de la sécurité liée aux portefeuilles d’auto-garde, la plateforme de certification de cybersécurité CER constate que la grande majorité d’entre eux ne font pas appel à des experts externes pour tester leur vulnérabilité.
10 août 2023 - 11:58
Temps de lecture : 3 minutes
Par Nathalie E.
Sécuriser ses cryptomonnaies avec des wallets crypto est devenu un sujet particulièrement sensible suite aux effondrements en cascade de plateformes centralisées qui ont scandé le marché crypto ces dernières années. De fait, le principe d’auto-garde a repris de l’actualité. Le minimum quand on évolue dans un univers décentralisé… Mais loin d’être respecté, le fameux « pas vos clés, pas vos crypto ! » sombrait souvent aux oubliettes. Les utilisateurs, par ignorance, paresse ou facilité, avaient tendance à laisser leurs précieuses clés privées entre les mains d’intermédiaires pas toujours très scrupuleux.
6 wallets crypto seulement ont recours au test dit « d’intrusion »
La donne a changé : le succès des périphériques matériels de type Ledger ou Trezor ou des applications logicielles comme MetaMask ou Trust Wallet n’est plus à démontrer. En revanche, ce qui l’est davantage, ce sont les méthodes utilisées par les uns et les autres pour protéger les avoirs des utilisateurs, d’autant que plusieurs événements récents ont remis au premier plan des failles de sécurité, comme celle qui a touché le portefeuille Atomic début juin.
De fait, les entreprises à l’initiative de ces différents wallets, déploient plusieurs techniques pour localiser les faiblesses éventuelles de leurs outils. Elles consacrent notamment un budget assez conséquent aux récompenses de bogues, moyen reconnu assez fiable pour stopper les piratages.
Mais, la plupart d’entre elles selon le rapport du CER, n’ont pas recours à des professionnels pour réaliser des tests d’intrusion. Or, cette méthode qui consiste à simuler des tentatives de piratage sur un portefeuille, en l’utilisant pour des fonctions auxquelles il n’était pas vraiment destiné, s’avère plutôt efficace. Elle permet de découvrir des vulnérabilités avant le lancement du produit ou de ses améliorations majeures. Le principe étant qu’un chercheur en sécurité externe qui n’a pas ou peu d’information sur le fonctionnement du système ou du logiciel visé exécute ses essais de hacking.
Cependant, sur les 45 portefeuilles analysés par le spécialiste de la cybersécurité, seuls 6 ont subi ces fameux tests d’intrusion, et seulement la moitié d’entre eux sur leur dernière version.
MetaMask en pôle position
Les trois les plus à jour sont MetaMask, le portefeuille crypto en ligne le plus populaire en nombre de téléchargements (22,66 millions à ce jour) suivi également par les hot wallet ZenGo et Trust Wallet. Rabby et Bifrost, plus confidentiels, ont effectué des tests d’intrusion sur les anciennes versions de leur logiciel. Quant à Ledger Live, manager des nanos, hardwallets leaders du marché au coeur d’une grosse polémique en raison d’une option controversée de récupération de la seed, l’a fait sur une version inconnue (répertoriée comme « N/A » dans le rapport).
Selon le CER, les 39 autres wallets n’ont effectué aucun test de cette nature toutes versions confondues. La raison probable serait le coût élevé de la procédure, notamment en cas de mises à niveau fréquentes du produit.
En conséquence, il semblerait que ce sont les portefeuilles les plus populaires qui sont le plus susceptibles d’effectuer des audits de sécurité approfondis comprenant ce fameux test, puisqu’ils disposent de fonds nécessaire à leur réalisation.
Essentiellement, les portefeuilles populaires ont tendance à adopter des mesures de sécurité plus robustes pour protéger leur base d’utilisateurs croissante. Cela semble logique — une base d’utilisateurs plus élevée correspond souvent à des fonds plus importants à sécuriser, plus de visibilité, et par conséquent, plus de menaces potentielles. Cela peut également entraîner une boucle de rétroaction positive, avec des portefeuilles plus sécurisés attirant de nouveaux utilisateurs en plus grand nombre que les moins sécurisés.
Rapport du CER
47 wallets crypto sur 159 validés comme sécurisés
Plus globalement, le rapport fournit un classement sur la sécurité des portefeuilles dits auto-hébergés où on retrouve en pôle position les wallets pratiquant les tests d’intrusion.
Source : Rapport du CER
Au-delà, 47 des 159 portefeuilles observés ont été validés comme «sécurisés» avec un score de sécurité supérieur à 60. Score basé sur un éventail de critères, allant des primes de bogue aux incidents recensés, en passant par des fonctionnalités permettant des procédures de récupération et des exigences de fiabilité des mot de passe.
Agissez toujours avec prudence dans vos investissements en choisissant avec soin votre portefeuilles pour héberger vos cryptos et une plateforme fiable comme PrimeXBT (lien commercial) pour les négocier. Vous bénéficierez en bonus d’une réduction à vie sur vos frais de trading.
Restons connectés
7,831 followers
17,800 followers
139,000 followers
1,247 followers