Certains partisans du Web3 diront que le Web décentralisé offre une plus grande résilience et sécurité par rapport au Web 2.0 grâce à sa technologie sous-jacente basée sur la blockchain.
Le Web 2.0, qui a fait ses débuts au début des années 2000 en mettant l'accent sur le contenu généré par l'utilisateur, les interfaces utilisateur riches et les services coopératifs, a également entraîné une nouvelle vague de menaces de sécurité, notamment les logiciels malveillants, le phishing, l'ingénierie sociale, le vol d'identité, intersite. scripts, injection SQL et fuites de données, pour n'en nommer que quelques-uns.
Web3, un terme qui englobe diverses technologies telles que les crypto-monnaies, les NFT et les DAO, semble certainement faire de ces menaces une chose du passé : web3 donne non seulement aux gens plus de contrôle sur leurs données, mais est basé sur des technologies distribuées. , comme la blockchain, pour gommer les nombreux défauts de son prédécesseur.
En réalité, cependant, le Web3 n'est pas plus sûr que le Web 2.0 et crée déjà un nouveau terrain de jeu pour les cybercriminels opportunistes. En effet, même s'il représente un changement dans ce à quoi Internet peut faire et sera utilisé, cela ne change pas fondamentalement la façon dont il fonctionne.
nouveau et non amélioré
Tout en promettant d'être entièrement décentralisés, les composants de web3 destinés aux utilisateurs sont principalement alimentés par la technologie Web 2.0, comme les API et les points de terminaison de connexion d'artefacts, bien qu'ils soient construits sur la technologie blockchain. Cela signifie que les utilisateurs de services web3 et d'applications décentralisées, ou «dApps», continuent de s'appuyer sur les technologies héritées pour effectuer des transactions, et signifie finalement que web3 est vulnérable à tous les problèmes de sécurité classiques qui ont tourmenté son prédécesseur, du détournement de DNS au script. traversée. Les entreprises Web3 doivent également communiquer avec leurs utilisateurs, principalement via les technologies Web 2.0 telles que le courrier électronique ou la messagerie en ligne, qui sont également sujettes aux problèmes de sécurité hérités.
Sans surprise, le phishing web3 s'est également produit. Alors que les attaquants se concentraient auparavant sur l'accès à des informations telles que les informations de connexion d'un utilisateur, ils portent désormais leur attention sur les portefeuilles de crypto-monnaie et les clés privées des utilisateurs.
Les humains seront toujours vulnérables à la manipulation, c'est pourquoi les pirates continueront d'employer cette technique simple mais efficace : les données montrent que les campagnes de phishing qui abus des plateformes web3 a augmenté de près de 500 % en 2022, tandis qu'un récent rapport d'Immunefi, la plateforme de primes aux bogues et de sécurité, a révélé que l'industrie de la cryptographie avait subi des pertes de 3.9 milliards de dollars en 2022 en raison de divers incidents liés au piratage, à la fraude et à l'escroquerie.
Ceci est peut-être mieux illustré par plusieurs attaques Web3 majeures au cours des derniers mois. L'une des plus tristement célèbres a été une attaque contre le réseau Ronin d'Axie Infinity, au cours de laquelle les attaquants ont volé 625 millions de dollars. Les pirates, identifiés par le gouvernement américain comme le groupe Lazarus soutenu par la Corée du Nord, auraient ciblé les employés du développeur Axie Infinity Sky Davis avec une fausse offre d'emploi via LinkedIn.
L'année dernière, les attaquants ont également violé Nomad, un protocole de messagerie interchaîne, pour voler près de 200 millions de dollars d'actifs numériques. Selon les journaux de sécurité, une mise à jour de l'un des contrats intelligents de Nomad a permis aux utilisateurs de falsifier plus facilement les transactions, permettant à un mauvais acteur de retirer des fonds qui ne lui appartenaient pas.
menaces décentralisées
Le hack Nomad démontre que web3 n'est pas seulement vulnérable aux failles de sécurité Web 2.0 existantes, mais présente également sa propre catégorie de vulnérabilités, un fait récemment mis en évidence par le chercheur sur les logiciels malveillants Marcus Hutchins dans un vidéo sur les réseaux sociaux dans lequel il affirme que le Web3 est en fait moins sécurisé que le Web 2.0.
Les contrats intelligents sont des programmes auto-exécutables qui s'exécutent sur une blockchain et sont utilisés pour automatiser l'exécution de diverses fonctions, telles que les transactions financières. Si un contrat intelligent contient une vulnérabilité, un attaquant peut l'exploiter pour voler des fonds. Les bogues dans les contrats intelligents étaient également responsables du vol de 31 millions de dollars de MonoX en 2021.
Les vulnérabilités des applications décentralisées sont également une préoccupation majeure : même si elles sont construites sur des plates-formes blockchain, elles sont soumises à des risques de sécurité tels que les attaques par déni de service (DDoS), les tentatives de piratage et les exploits. Les experts en sécurité ont également tiré la sonnette d'alarme sur de nombreux autres problèmes propres à la technologie Web3, tels que les échecs de pontage inter-chaînes et les attaques contre les processus de gouvernance, qui nécessitent tous des connaissances et une expertise spécialisées pour être résolus.
Cependant, la nouveauté de ces technologies, associée au fait que de nombreux professionnels de la sécurité sont très sceptiques à l'égard du Web3, signifie que les organisations de cet espace peuvent avoir du mal à trouver les bonnes compétences pour maintenir la sécurité du Web3.
Ce n'est pas une solution à tout
Web3 a été un moteur clé pour les startups et le capital-risque ces dernières années : les startups Web3 ont levé un record dans le monde 29,2 milliards de dollars en 2021, et bien que cela ait légèrement baissé l'année suivante, ils ont quand même récolté 21,5 milliards de dollars en 2022. Dans cet esprit, il n'est peut-être pas surprenant que les technologies web3 aient été rapidement adoptées par les startups, dont beaucoup ignorent probablement les avantages potentiels des risques de sécurité.
Pour s'assurer qu'elles ne soient pas victimes de la faille de sécurité Web3, il est essentiel que les startups donnent la priorité à la sécurité dès le départ et adoptent la méthodologie de sécurité dès la conception. Bogdan Botezatu, directeur de la recherche sur les menaces et des rapports à la société de cybersécurité Bitdefender, a déclaré que cela devrait inclure la réalisation d'évaluations des risques pendant les étapes de conception des produits et services, en suivant les meilleures pratiques pour le développement de logiciels sécurisés, telles que l'audit du code source, les tests de pénétration réguliers et l'embauche, interne ou des équipes de sécurité sous contrat (si elles peuvent trouver les compétences nécessaires).
"Un clic erroné ou une mise à jour de sécurité manquée peut entraîner une compromission du réseau, une violation de données ou un vol d'actifs", a déclaré Botezatu. "Les entreprises fintech centralisées et décentralisées présentent un niveau de risque plus élevé en raison des opportunités de monétisation immédiates dont disposent les cybercriminels potentiels."
Web3 a beaucoup de potentiel et promet de donner plus de pouvoir aux utilisateurs quotidiens et d'inspirer les entreprises, les produits, les services et les expériences de la prochaine génération. Cependant, en fin de compte, un logiciel est un logiciel et Web3 est aussi sécurisé que nous le prétendons.
