vendredi, novembre 22, 2024

Seules 6 marques de portefeuilles cryptographiques sur 45 ont subi des tests d’intrusion : Rapport

Un juillet rapport de la plate-forme de certification de cybersécurité CER a constaté que seulement six des 45, soit 13,3%, des marques de portefeuilles de crypto-monnaie ont subi des tests de pénétration pour trouver des vulnérabilités de sécurité. Parmi ceux-ci, seulement la moitié ont effectué des tests sur les dernières versions de leurs produits.

Selon le rapport, les trois marques qui ont effectué des tests de pénétration à jour sont MetaMask, ZenGo et Trust Wallet. Rabby et Bifrost ont effectué des tests de pénétration sur des versions plus anciennes de leur logiciel et LedgerLive les a effectués sur une version inconnue (répertoriée comme « N/A » dans le rapport). Toutes les autres marques répertoriées n’ont fourni aucune preuve d’avoir effectué ces tests.

Le rapport aussi fourni un classement général de la sécurité de chaque portefeuille, répertoriant MetaMask, ZenGo, Rabby, Trust Wallet et Coinbase comme étant les portefeuilles les plus sécurisés dans l’ensemble.

Classement CER pour la sécurité des portefeuilles. Source : CER.

Les « tests d’intrusion » sont une méthode de détection des vulnérabilités de sécurité dans les systèmes informatiques ou les logiciels. Un chercheur en sécurité tente de pirater l’appareil ou le logiciel et de l’utiliser à des fins non prévues. Dans la plupart des cas, un testeur d’intrusion reçoit peu ou pas d’informations sur le fonctionnement du produit. Ce processus est utilisé pour simuler des tentatives de piratage dans le monde réel afin de découvrir des vulnérabilités avant la sortie du produit.

Le CER a constaté que 39 des 45 marques de portefeuilles n’avaient effectué aucun test de pénétration, pas même sur les anciennes versions du logiciel. Le CER a émis l’hypothèse que la raison pourrait être que ces tests sont coûteux, en particulier si l’entreprise effectue des mises à niveau fréquentes de ses produits, déclarant : « Nous l’attribuons au nombre de mises à jour d’une application moyenne, où chaque nouvelle mise à jour peut disqualifier le pentest effectué plus tôt. .”

Ils ont constaté que les marques de portefeuilles les plus populaires étaient plus susceptibles d’effectuer des audits de sécurité, y compris des tests de pénétration, car elles disposaient souvent des fonds nécessaires pour le faire :

« Essentiellement, les portefeuilles populaires ont tendance à adopter des mesures de sécurité plus robustes pour protéger leur base d’utilisateurs croissante. Cela semble logique – une base d’utilisateurs plus élevée correspond souvent à des fonds plus importants à sécuriser, plus de visibilité, et par conséquent, plus de menaces potentielles. Cela peut également entraîner une boucle de rétroaction positive, avec des portefeuilles plus sécurisés attirant de nouveaux utilisateurs en plus grand nombre que les moins sécurisés.

Le classement des portefeuilles de CER était basé sur une méthodologie qui incluait des facteurs tels que les primes de bogues, les incidents passés et les fonctionnalités de sécurité, telles que les méthodes de restauration et les exigences de mot de passe.

Bien que la plupart des marques de portefeuilles n’effectuent pas de tests de pénétration, le CER a déclaré que beaucoup d’entre eux s’appuient sur les primes de bogues pour trouver des vulnérabilités, ce qui est souvent un moyen efficace de prévenir les piratages. Ils ont évalué 47 des 159 portefeuilles individuels comme «sécurisés» dans l’ensemble, ce qui signifie qu’ils avaient un score de sécurité supérieur à 60. Ces 159 portefeuilles comprenaient certains des mêmes marques. Par exemple, le navigateur MetaMask pour Edge était considéré comme un portefeuille distinct de MetamlMask pour Android.

En rapport: Les primes de bogue peuvent aider à sécuriser les réseaux blockchain, mais ont des résultats mitigés

La sécurité du portefeuille est devenue un problème urgent en 2023, car plus de 100 millions de dollars ont été perdus dans le piratage du portefeuille Atomic le 3 juin. L’équipe Atomic a émis l’hypothèse que la violation pourrait avoir été causée par un virus ou l’injection de logiciels malveillants dans l’infrastructure de l’entreprise, mais la vulnérabilité exacte qui a permis l’attaque est encore inconnue. Le portefeuille Web MyAlgo a également subi une faille de sécurité fin février, entraînant une perte estimée pour les utilisateurs de plus de 9 millions de dollars.