Le piratage dans Web3 est facile car il utilise le même modèle que celui utilisé depuis la création d’Internet – se faire passer pour quelqu’un d’autre.
En raison de la complexité et du «facteur cool» des projets Web3, on peut facilement – et à tort – supposer qu’il faut à M. Robot le niveau de techniques de piratage avancées pour réussir une attaque. En vérité, cependant, il suffit d’une annonce sinistre placée sur les résultats de recherche Google, d’un groupe Telegram imposteur ou d’un e-mail sournoisement conçu pour briser les barrières de sécurité de l’écosystème Web3.
Les projets de blockchain peuvent utiliser des contrats intelligents de premier ordre, intégrer en toute sécurité des portefeuilles cryptographiques et utiliser les meilleures pratiques à chaque étape numérique à tous les niveaux. Mais ils ont encore besoin d’aide pour l’aspect social de la protection des utilisateurs.
Web3 prend la « propriété » des entités centrales et la distribue aux utilisateurs pour démocratiser Internet pour tous. Il donne du pouvoir à l’utilisateur.
Mais, atteindre ce pouvoir de propriété s’accompagne également d’une responsabilité importante. Les utilisateurs doivent comprendre comment fonctionnent les portefeuilles cryptographiques, comment les transactions sont effectuées et comment les actifs sont stockés – et la courbe d’apprentissage abrupte n’aide pas.
Cointelegraph s’est entretenu avec Dmitry Mishunin, PDG de l’auditeur blockchain HashEx, à la semaine Blockchain d’Istanbul pour parler des tenants et aboutissants de Web3 du point de vue d’un expert en sécurité.
Cointelegraph : Vous travailliez sur Web3 avant même que ce soit une chose. Comment décrivez-vous ou encadrez-vous Web3 ?
Dmitry Mishunin : Je pense que la caractéristique principale [of Web3] C’est que le contrôle des fonds relève de la responsabilité des utilisateurs, et c’est un paradigme fascinant.
Web1 est juste une expérience en lecture seule. Vous pouvez obtenir l’information et obtenir le contexte, mais vous ne pouvez rien en faire. Web2 est un mode lecture-écriture — vous pouvez télécharger quelque chose. Et Web3 est lu, écrit, propre.
C’est une responsabilité folle pour l’utilisateur final car il n’avait pas une telle expérience auparavant. Nous voyons beaucoup de problèmes de sécurité parce que les gens ne réalisent pas qu’il s’agit de leur responsabilité personnelle vis-à-vis de leurs propres actifs. Les gens ne sont pas prêts pour cela.
CT : En quoi pensez-vous que Web3 diffère des autres en matière de sécurité et de protection des utilisateurs ?
MP : Il est livré avec un nouveau niveau de sécurité et un nouveau niveau de contrats intelligents. Il ne s’agit pas seulement de la confidentialité des contrats intelligents ; cela implique toute l’infrastructure des portefeuilles, les utilisateurs, leur mission, etc.
Lorsqu’une grande banque manque de fonds, les gouvernements peuvent fournir les fonds, pas sous forme de crédit. Ils achètent la banque pour 1 $ et donnent des fonds au gouvernement. L’infrastructure Web3 n’est pas prête pour cela parce que les gouvernements et les énormes régulateurs ne pensent pas que cela en vaut la peine, ou ils pensent qu’ils ne peuvent pas faire confiance à cet écosystème.
Par exemple, si j’avais un compte PayPal, je serais sûr à 100 % que PayPal protège mes fonds. Et si quelqu’un le leur vole, [PayPal] vais vous le rendre, ou peut-être que je peux aller au tribunal. À la fin de la journée, ils me rendront mes fonds. Il est difficile de comprendre que vous êtes personnellement responsable de ces fonds [in Web3] — c’est difficile à réaliser.
Le phishing continue d’être une menace majeure dans le Web3
MP : Même chez HashEx, une société de sécurité, nous avons perdu environ 100 000 dollars l’année précédente – pas en escroqueries, pas en investissements risqués, mais en erreurs humaines. Nous avons eu une expérience de phishing cruciale lorsque notre employée a voulu faire des échanges sur Pancakeswap, a recherché Pancake sur Google et n’a pas réalisé qu’elle cliquait sur un lien de Google Ads, pas des résultats de recherche.
Il y avait une fenêtre contextuelle qui ressemblait à une fenêtre MetaMask. La fenêtre contextuelle a déclaré: « vous avez une erreur dans votre MetaMask », et elle a entré sa phrase de départ.
CT : Donc, en bref, les contrats intelligents seront plus sûrs, mais le phishing restera le principal problème de la sécurité Web. L’aspect social de la sécurité sera-t-il l’activité principale d’entreprises comme HashEx ?
MP : Nous pouvons réduire les attaques de phishing, car il s’agit principalement de savoir et de comprendre comment les escrocs trompent les utilisateurs. Il ne s’agit pas de la cyberpolice ou des auditeurs, car exécuter de telles attaques est facile. Vous pouvez simplement créer un groupe Telegram et envoyer des messages aux utilisateurs. Il est impossible pour les sociétés de sécurité de couvrir tout cela.
Cependant, nous pouvons certainement aider avec ce niveau de compréhension des utilisateurs, et nous le faisons. Nous avons l’Académie HashEx. Nous créons beaucoup de contenu à ce sujet. Après un certain temps, les gens devraient mieux comprendre comment Web3 devrait fonctionner.
CT : Est-il possible de rester anonyme dans l’environnement Web3 ?
MP : Ce n’est possible que si vous ne retirez aucun fonds et que vous ne les transférez pas de Web3 vers le monde réel. Si vous souhaitez retirer des fonds de Web3 vers le monde réel, le risque de perdre l’anonymat apparaît immédiatement.
CT : Les jeux Metaverse et blockchain sont les principales tendances du Web3 en ce moment. Avons-nous d’autres tendances que celles-là ?
MP : L’Internet des objets (IdO). C’est une tendance puissante. C’est excellent lorsque ces appareils peuvent échanger des données avec des contrats intelligents ou entre eux.
Il y a quelques appareils intelligents dans ma maison, comme une machine à laver et un sèche-linge. J’utilise ces fonctionnalités IoT. C’est bon pour moi, et je pense que l’intégration de systèmes plus compliqués ira bien.
CT : Pourquoi pensez-vous que l’IoT basé sur la blockchain deviendrait une tendance ?
MP : C’est parce que les entreprises manquent de support universel pour l’IoT. Par exemple, il existe un énorme problème de disponibilité dans différents pays ou différentes régions. Si vous parlez d’Amazon ou d’eBay, ils ont différentes bases de données et sites Web à travers le monde et toutes les deux heures ou tous les deux jours, ils les synchronisent. Mais ils n’utilisent sûrement pas la même base de données pour l’Amérique du Nord, l’Amérique du Sud ou l’Europe.
Et, si vous êtes un fournisseur de technologie comme LG ou Samsung et que vous souhaitez connecter tous les appareils à travers le monde, vous avez deux options. Soit vous avez différents hubs dans différentes régions et les synchronisez, soit vous utilisez quelque chose comme une blockchain. Ainsi, pour la haute fiabilité de ce processus, la blockchain et Web3 sont utiles.
CT : Qu’attendez-vous de l’industrie du Web3 pour l’année à venir ?
MP : Standardisation. Nous devons demander plus et différentes sphères de blockchain. Nous devons demander d’autres moyens de transférer des fonds entre les blockchains. Standardisation du pont – il peut avoir plus d’outils et plus de cadres. C’est vraiment utile.