mai 2023

Les escroqueries par hameçonnage se poursuivent à l'ère du Web3

L'essor des technologies Web3, qui utilisent les technologies de la chaîne de blocs (blockchain) pour créer des instances immuables de données pouvant être partagées et consultées sur des réseaux décentralisés, suscite beaucoup d'intérêt ces jours-ci. Plutôt que de dépendre de services centralisés construits à l'aide de technologies Web 2.0, l'objectif est de rendre les données plus sûres sans avoir à dépendre de services en nuage centralisés qui sont contrôlés par une poignée d'entités qui sont devenues extrêmement grandes.

Les escroqueries par hameçonnage se poursuivent à l'ère du Web3

 

Toutefois, aussi noble que soit cet effort, les plateformes Web3 sont toujours accessibles à l'aide de divers types d'identifiants. En tant que telles, elles sont sujettes à des variations des mêmes attaques de phishing que celles qui touchent actuellement les plateformes Web 2.0. Microsoft, par exemple, a publié une alerte décrivant comment les clés de chiffrement utilisées pour accéder aux plateformes Web3 pouvaient être compromises par l'usurpation de l'identité d'un logiciel de portefeuille numérique, le déploiement de logiciels malveillants sur les appareils des victimes, le typosquattage de l'extrémité avant d'un contrat intelligent légitime, ou la création de jetons numériques frauduleux pour des escroqueries de type Airdrop, où les utilisateurs cherchent à savoir ce qu'est un jeton mystérieux avant de se faire voler leurs informations d'identification.

Collectivement, ces techniques dites d'"ice phishing" trompent, d'une manière ou d'une autre, les utilisateurs finaux en leur faisant signer une transaction qui donne subrepticement le contrôle d'un jeton à un cybercriminel.
 

Des milliards de dollars sont déjà investis dans la recherche et le développement du Web3. Le terme Web3 a été inventé par Gavin Wood, fondateur de Polkadot et cofondateur d'Ethereum, en 2014. À la base, Web3 décrit tout échange d'un actif numérique sans l'intervention d'une autorité centrale. L'entité qui gère l'échange d'actifs numériques est appelée organisation autonome décentralisée (DAO). L'idée de base n'est pas tant de supplanter le cadre existant du Web 2.0 que d'ajouter un cadre distinct qui donne aux utilisateurs et aux organisations plus de contrôle non seulement sur les transactions, mais aussi sur leurs données, à mesure que le besoin de s'appuyer sur des services Internet centralisés se fait moins sentir.

La décentralisation est possible parce qu'une plateforme de chaîne blocs fournit à chaque membre d'un réseau une copie des mêmes données à l'aide d'un grand livre distribué. Si un grand livre est modifié ou corrompu de quelque manière que ce soit, il sera automatiquement rejeté par les autres grands livres du réseau. Chaque entité du réseau a accès à une vue partagée en temps réel des données stockées dans le grand livre.

L'un des principaux avantages de la décentralisation est qu'elle réduit la dépendance à l'égard d'une plateforme spécifique qui pourrait entraîner des pannes systémiques et des goulets d'étranglement. Elle optimise également la distribution des ressources afin d'améliorer les performances, la cohérence et la sécurité globale des applications. Il reste cependant des défis à relever. Les plateformes de chaînes de blocs, par exemple, consomment de grandes quantités d'énergie, de sorte que toute approche de la décentralisation devra être alignée sur les politiques et les exigences en matière de changement climatique.

Elles peuvent également être utilisées pour financer un large éventail d'activités illicites, ce qui complique considérablement la tâche des organismes chargés de l'application de la loi lorsqu'il s'agit de suivre les paiements financiers. Ce n'est pas un hasard si les cybercriminels exigent que les rançons soient payées en crypto-monnaies.

Quelle que soit la plateforme, les techniques d'hameçonnage employées par les cybercriminels pour compromettre les informations d'identification seront adaptées. Ce qu'il faut retenir, c'est que quelle que soit la qualité d'une plateforme, la sécurité ne sera jamais parfaite.
 

Par Mike Vizard

Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.

Lien vers l'article original

Retour