Alors que la rumeur de TikTok «Spyware» tourbillonne, la sécurité des applications cryptographiques à l’honneur

Alors que la rumeur de TikTok «Spyware» tourbillonne, la sécurité des applications cryptographiques à l’honneur

Crypto portfolio manager

Au cours des dernières semaines, TikTok s’est retrouvé dans l’eau chaude pour des problèmes de sécurité. Premièrement, elle a été supprimée en Inde avec 58 applications chinoises pour «avoir volé et transmis subrepticement les données des utilisateurs de manière non autorisée». Plus tard, il est devenu une cible majeure pour l’administration Trump dans le contexte de la relation chancelante de l’Amérique avec la Chine et a même été interdit aux employés de Wells Fargo et d’Amazon, ce dernier retraçant plus tard la nouvelle, affirmant qu’il n’avait pas l’intention d’interdire l’utilisation de TikTok.

Alors que la censure des habitudes de collecte de données de TikTok semble provenir principalement de raisons géopolitiques – ses critiques les plus sévères accusent l’application d’être un logiciel espion pour le Parti communiste chinois – certaines recherches suggèrent que TikTok n’est pas très différent des applications occidentales en termes de confidentialité et la sécurité, le scandale des données Facebook-Cambridge Analytica étant sans doute l’exemple le plus clair.

Il semble prudent de dire qu’à ce stade, les données des utilisateurs sont devenues le principal produit des applications grand public, mais qu’en est-il des applications cryptographiques populaires?

Crypto et cybersécurité

La cybersécurité reste un point faible majeur pour l’espace crypto-monnaie et blockchain. Chaque année, les pirates parviennent à extraire des sommes d’argent de plus en plus importantes des échanges de crypto-monnaie et des investisseurs ignorants, tandis que la technologie elle-même et l’urgence des coins de confidentialité ont permis aux criminels de rester relativement anonymes.

La collecte de données, cependant, est une question légèrement différente. Contrairement aux hacks, il tombe dans une zone réglementaire plus grise. «Données privées» est un terme générique plutôt abstrait, et normalement, les utilisateurs consentent à la collecte de données lorsqu’ils téléchargent une application et approuvent ses conditions générales. Néanmoins, ils ne réalisent souvent pas à quel type de données ils ont autorisé cette application à accéder – et parfois c’est bien plus que leur adresse e-mail et leur emplacement approximatif.

«Les applications mobiles sont généralement très« approfondies »en matière de publicité ciblée», a déclaré Hartej Sawhney, PDG et cofondateur de l’agence de cybersécurité Zokyo Labs, lors d’une conversation par e-mail avec Crypto. Il a ajouté: «De nombreuses applications suivent les utilisateurs même lorsque leur application mobile n’est pas utilisée. De plus, il y a même des inquiétudes concernant l’accès des applications au microphone de votre téléphone. »

En effet, une histoire quelque peu similaire s’est produite récemment avec Binance. Plus tôt ce mois-ci, l’utilisateur de Twitter Sherpa a publié une capture d’écran d’un émetteur de certificat dans un tweet, montrant que les autorisations demandées par le principal échange de crypto-monnaie dans son application Android incluent l’accès à la caméra et la possibilité d’enregistrer de l’audio. À l’époque, le responsable de la sécurité de Binance avait déclaré à Crypto que la caméra était utilisée pendant le processus de vérification KYC, soulignant que «le code développé en interne dans l’application Binance n’utilise certainement pas le microphone».

Plus tard, le PDG de Binance, Changpeng Zhao, a déclaré qu’il avait demandé à son équipe de réviser le code, précisant à Crypto que Binance avait choisi de supprimer l’autorisation d’enregistrement audio et de “garder au minimum les autres autorisations requises, pour la tranquillité d’esprit de nos utilisateurs.”

CZ a également partagé une liste d’autorisations de la version mise à jour de l’application, qui semblait beaucoup plus axée sur la confidentialité par rapport aux captures d’écran publiées par Sherpa. En outre, Zhao a souligné que Binance ne vend pas de données utilisateur «de quelque nature que ce soit, telles que le conditionnement des données KYC avec l’analyse de la blockchain».

Collecte de données et mauvaises ramifications de sécurité

Comme CZ l’a déjà dit à Crypto, les applications ayant accès aux données du presse-papiers de l’utilisateur représentent la plus grande menace pour la sécurité des utilisateurs, car elles peuvent potentiellement voler leurs clés privées. «La plupart des applications cryptographiques qui demandent votre matériel clé peuvent simplement voler vos fonds, et vous êtes convaincu que ce n’est pas le cas», a confirmé Harry Halpin, PDG de Privacy Mixnet Nym Technologies, à Crypto, ajoutant: «Tout service de garde peut évidemment voler votre crypto-monnaie. »

Le vol de coins est l’un des principaux risques associés aux applications de crypto-monnaie et aux applications de portefeuille en particulier. Alex Heid, directeur de la recherche et du développement de la société de sécurité de l’information SecurityScorecard, a ajouté lors d’une conversation avec Crypto:

«Les attaquants sont connus pour utiliser des logiciels malveillants, des référentiels de développeurs compromis et une ingénierie sociale pour obtenir le portefeuille et les clés privées des utilisateurs vulnérables. Des exemples de cela se sont produits dans le passé, comme avec le fléau continu des applications malveillantes dans les magasins d’applications mobiles, l’attaque des portefeuilles Copay via une bibliothèque JavaScript compromise en 2018 et l’attaque des serveurs de messagerie des nœuds Electrum en 2019. »

Les applications cryptographiques sont-elles généralement plus sûres?

Les applications cryptographiques sont-elles différentes des logiciels grand public en termes de collecte de données? Les avis des experts sont partagés. «La nature des applications cryptographiques est très similaire à d’autres applications financières à bien des égards», a expliqué Heid, précisant: «Les utilisateurs sont souvent tenus de fournir des informations d’identification pour la conformité KYC / AML. Dans le passé, il y a eu des cas où des données KYC / AML ont été obtenues par des attaquants suite à des piratages réussis contre des services de crypto-monnaie. »

Matt Senter, cofondateur et directeur de la technologie de l’application de récompenses Bitcoin Lolli, a déclaré à Crypto que «l’incitation à mentir, tricher et voler est beaucoup plus élevée dans les applications Bitcoin que dans les applications traditionnelles», mais a averti que «les utilisateurs devraient rester vigilants pour tous. types d’applications. »

Halpin a déclaré qu’il serait «choqué» si les applications de crypto-monnaie n’avaient pas plus de logiciels malveillants et de surveillance que d’autres applications, étant donné que la crypto-monnaie doit faire face à de l’argent. «L’envoi de crypto-monnaie dans un registre public permet à quiconque d’espionner votre transaction», a-t-il ajouté.

Brian Kerr, PDG de la plate-forme de prêt Kava Labs, a déclaré à Crypto qu’il était «beaucoup plus préoccupé par le partage de données à partir d’applications de technologie financière comme Robinhood et d’applications de communication d’entreprise comme Zoom que de données provenant d’applications de crypto trading.»

Comment rester en sécurité?

Mais comment peut-on rester en sécurité lors de l’utilisation d’applications cryptographiques? Senter pense que connaître les bases des crypto-monnaies est indispensable pour utiliser les applications de l’industrie ou traiter les actifs numériques en général. Senter a cité le récent piratage de Twitter comme exemple:

«Les utilisateurs qui ne comprennent pas le fonctionnement de Bitcoin risquent de tout perdre. Nous avons vu récemment une attaque sur Twitter où des personnes ont été dupées pour remettre leurs fonds à une adresse aléatoire. Bien que n’étant pas une application Bitcoin, l’attaque Twitter met en évidence un manque de compréhension. »

Selon Senter, les applications cryptographiques qui ne disposent pas d’une interface conviviale pour guider leurs clients lors de la vérification des transactions «laissent les non-initiés se demander si leurs fonds sont en sécurité». Il y a aussi des sosies d’applications, a-t-il averti, notant que ce sont des menaces «facilement atténuées par l’éducation sur Bitcoin et un bon opsec».

Cependant, «il est presque impossible pour un utilisateur de vérifier la confidentialité et la sécurité d’une application», a déclaré Halpin de NYM Technologies, ajoutant: «Même les développeurs créent souvent une technologie qu’ils croient sécurisée et privée, et la foutent en l’air.» Il est également largement sceptique quant à l’hypothèse selon laquelle les applications décentralisées offrent plus de sécurité par rapport aux solutions développées par des entreprises centralisées, du moins dans leur état actuel:

«Est-il plus sûr de faire confiance à un groupe aléatoire de personnes avec votre application qu’à un seul tiers? Pour que la décentralisation fonctionne, nous avons besoin d’une responsabilisation plus forte et d’une réelle décentralisation. La plupart de ce que je vois dans l’espace blockchain est un théâtre de décentralisation. »

En conséquence, Halpin a conclu qu’il était préférable de prendre conseil auprès de «tiers réputés», tels que des universitaires ou des entreprises du secteur, qui ont un bon historique de détection et de correction des vulnérabilités avant que les fonds ou les données personnelles de leurs utilisateurs ne soient compromis.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *