La plupart des ICO ont été générées dans l’ordre aux États-Unis, en Russie et à Singapour. La France occupe la 24e position.
Les chercheurs ont noté quelques points intéressants concernant la sécurité :
- la rapidité et la taille du marché de l'ICO attirent l'attention des pirates. Résultat des courses, dix pour cent des fonds générés par les ICO (soit près de 400 millions de dollars) sont perdus à la suite d'attaques. Les attaquants sont attirés par la précipitation (des investisseurs potentiels), l'absence d'une autorité centralisée, l’irréversibilité de la transaction blockchain et le chaos de l'information ;
- les fondateurs du projet s'intéressent plus sur le fait d’attirer des investisseurs. Ce qui fait que la sécurité n'est souvent pas prioritaire, pour le plus grand bonheur des hackers qui ne manquent pas d’en profiter (plus l'ICO est attrayante, plus elle est susceptible de subir des attaques) ;
- les projets et les investisseurs sont exposés à des attaques. Les types d'attaques les plus courants incluent la substitution d'adresses de portefeuille, l'accès aux clés privées, le vol de fonds de portefeuilles et le vol des fonds d'échanges ;
- les attaques par hameçonnage restent les plus répandues pour attaquer au cours d'une ICO. Depuis le début de l’année 2017, la fréquence de ces attaques n’a eu de cesse de croître, les hackers étant motivés par la simplicité et l'efficacité ;
- le piratage entraîne également des pertes indirectes : par exemple, la perte de réputation ou la perte des données personnelles et sensibles des investisseurs (les chercheurs précisent que certaines grandes plateformes nécessitent une identification complète avant de pouvoir procéder aux échanges, notamment une copie de sa CNI, un numéro de téléphone, etc.).
Si les attaques par hameçonnage (une attaque commune visant à faire croire aux victimes qu'elles doivent cliquer sur des liens malveillants) restent les attaques les plus utilisées au cours des ICO, les chercheurs ont également noté d’autres attaques favorites des pirates, notamment :
- les attaques par déni de service distribué (DDoS) ;
- le piratage d'un site web/application web ;
- les attaques lancées contre des employés de l'entreprise ;
- les attaques sur les infrastructures informatiques ;
- les attaques contre les investisseurs ;
- les piratages des échanges et des portefeuilles ;
- les chercheurs estiment que les hackers volent jusqu'à 1,5 million de dollars américains en recettes d'ICO par mois.
Le clone que vous voyez dans l’image ci-dessus a été enregistré le 9 août 2017 et distribué via le service de messagerie Slack au nom d'un fonds de couverture « d’employés ». Grâce à ce stratagème, les attaquants ont pu obtenir des clés privées et voler tous les fonds du compte des victimes. La même technique a été employée à sept autres projets demandant des financements avec différentes cryptomonnaies. Rien qu'en août 2017, ils ont volé près de 1,4 million de dollars américains de 350 portefeuilles.
Les chercheurs expliquent que les hackers utilisent les attaques DDoS pour mettre hors service le site d'origine et publier les adresses des sites d'hameçonnage sur les forums Web et les médias sociaux qui font la promotion des ICO. Les investisseurs, conduits par la peur de rater le coche, ne vérifient pas le site et transfèrent les fonds à l'adresse du criminel. La probabilité de retour des fonds est proche de zéro.
Le recours de plus en plus courant aux cryptomonnaies suscite l'engouement des investissements. Mais celui-ci est rarement du goût des régulateurs en raison des risques associés. Aux États-Unis, le gendarme de la bourse, la Securities and Exchange Commission (SEC) appelle à une « extrême prudence ». Le gouvernement chinois se montre encore plus radical en interdisant le bitcoin.
Source : étude du cabinet (au format PDF)
Voir aussi :
Les ICO ou levées de fonds en cryptomonnaies : une arnaque ou un investissement rentable ? Pour Belfort, c'est la plus grande escroquerie du siècle
Monnaie électronique : la Chine rend les levées de fonds de type ICO illégales et invite ceux qui en ont profité à procéder à des remboursements
Des pirates dérobent plus de 500 000 dollars en ethers lors de l'ICO lancée par Enigma en utilisant une technique de phishing