Contraintes par les usages du marché du numérique, les entreprises du Web3 doivent se mettre à l’heure du mobile en dupliquant leur solutions sur des applications accessibles via smartphone. Une transition qui génère des défis sécuritaires supplémentaires pour ces dernières qui peinent encore à en esquisser les réponses. De quoi offrir de nouvelles opportunités au marché de la cybersécurité. État des lieux.

Les téléphones mobiles dominent désormais le paysage numérique avec un engagement utilisateur surpassant de loin celui des consoles et des PC. Selon la dernière étude de Data.AI, les français passent en moyenne 3h30 par jour sur leur téléphone, un ratio proche de celui de leurs voisins européens. Dans certains pays,  comme la Thaïlande, l’Indonésie ou encore l’Argentine, la moyenne se situe quant à elle entre 5 et 6 heures quotidiennes et monte jusqu’à 7 heures au Japon ou en Corée. Fin 2023, le spécialiste de l’analyse des données mobiles Data.AI annonçait 2,3 milliards de téléchargements d’applications intégrant des fonctionnalités d’IA génératives, soit une hausse de 40% par rapport à l’année précédente. 

Face à ce constat, l’intérêt des entreprises crypto pour les applications mobiles a considérablement augmenté, et la qualité de ces applications s’est nettement améliorée au fil des dernières années – et ce tout particulièrement durant le dernier marché baissier de 2022-2023. Investissements en R&D, volonté d’acquérir de nouveaux clients et nécessité de renouveler l’intérêt des anciens sont autant de problématiques rencontrées durant cette période par les acteurs de l’écosystème crypto qui les ont poussés à transitionner et à développer des solutions mobiles adaptées aux usages des consommateurs. Si les principaux échanges centralisés comme Coinbase, Crypto.com et Binance, avec leur version light adaptée au mobile, étaient déjà présents depuis plusieurs années, de nombreux portefeuilles crypto ont en effet mis du temps à créer leur version mobile après avoir lancé l’extension de navigateur. L’échange centralisé Swissborg avait quant à lui, fait le choix de n’avoir qu’une application mobile, sans version pour PC dès son lancement en 2017 et jusqu’à aujourd’hui. Il avait d’ailleurs organisé un référendum via la blockchain, demandant à ses utilisateurs la solution qu’ils préféraient : l’option de l’application mobile a remporté 55% des votes contre 45% pour le site web responsive. La distribution géographique des votes a montré une forte participation de la communauté japonaise, suivie par celles de la Suisse et du Royaume-Uni. 

Adaptation de l’écosystème Web3 et nouveaux défis 

Une initiative qui est longuement restée isolée dans le monde des cryptomonnaies mais qui connaît depuis quelques années, un rattrapage fulgurant. Preuve en est, l’apparition de l’application Warpcast, un des clients de Farcaster, réseau social décentralisé disponible sur mobile, qui compte plus de 350.000 d’utilisateurs. Son nombre d’utilisateurs actifs quotidiens a explosé en quelques jours, passant de 5000 le 28 janvier 2024 à 24 700 le 3 février dernier. Autre exemple, Ledger, le fabricant de hardware wallets, avec les fameuses “clés Ledger”, a intégré une connexion Bluetooth dans ses nouveaux modèles, permettant de signer et valider des transactions sans câble USB, optimisées pour une utilisation mobile. Numéro un des portefeuilles crypto physiques, cette intégration permet à d’autres acteurs de se positionner sur le marché des applications mobiles en apportant une solution de sécurité jusqu’alors inaccessible sur mobile.

Cependant, le développement d’applications Web3 sur mobile n’est pas sans défi. La grande variété d’appareils mobiles, avec des niveaux de performance différents, rend difficile le développement d’applications fonctionnant bien sur tous les appareils. Une complexité supplémentaire non négligeable dans un secteur déjà tourmenté mainte fois par les enjeux de sécurité. Les applications décentralisées (dApps) incluent des plateformes crypto, des jeux, et tout ce qui nécessite des paiements en crypto-monnaies. Les failles de sécurité sont nombreuses et les développeurs doivent constamment les anticiper et les résoudre. Le développement de jeux Web3 pour mobile se heurte quant à lui à la concurrence des expériences utilisateur simplifiées des jeux mobiles actuels. La complexité des transactions Web3, par rapport aux actions Web2 plus simples, constitue toujours un obstacle important pour l’adoption de masse.

Une aubaine pour la cybersécurité

De quoi faire naître un nouveau marché aux potentialités infinies pour les entreprises de cybersécurité désireuses de résoudre ces nouveaux défis. C’est le cas, par exemple, de FuzzingLabs, une start-up spécialisée dans la recherche de vulnérabilités, le fuzzing, et la sécurisation des blockchains, qui recense deux vulnérabilités majeures.

La première, et la plus fréquente, concerne la problématique du stockage des données. Par exemple, en volant un téléphone, on peut récupérer l’accès aux wallets même sans la clé privée. Une faille aberrante dont ont pourtant été victimes nombre d’applications Web3 disponibles sur Android. La solution ? S’assurer avant de télécharger l’application qu’elle utilise un chiffrement robuste de la confidentialité et vérifier ce qui reste en mémoire. En cas de navigation d’une app à une autre, même sans se déconnecter de la première, il faut vérifier que la clé n’est pas restée en mémoire sur le mobile. Il est également conseillé de systématiser la déconnexion de ses applications Web3 après leur utilisation. Sans ces précautions, l’usurpation devient un jeu d’enfant.

La seconde vulnérabilité est liée aux connexions non sécurisées à des réseaux publics. L’atout d’une application mobile réside dans le fait de pouvoir y accéder partout, tout le temps. Cependant, la connexion aux dApps dans la vie quotidienne d’un usager nécessite de passer par des serveurs souvent non sécurisés. Par exemple, un utilisateur souhaitant se connecter à son wallet alors qu’il est en train de manger au McDonald’s va passer par le serveur du fast-food. Un réseau qui n’est pas privé, donc, et qui le rend vulnérable. Sans même y avoir accès, un attaquant peut intercepter et modifier des transactions en redirigeant l’utilisateur vers une autre page web, et ce, sans qu’il ne s’en rende compte. La solution ? Ne jamais se connecter à des réseaux inconnus et systématiser la connexion à son wallet chez soi, depuis un seul et même device. Mieux vaut aussi avoir plusieurs wallets plutôt qu’un unique portefeuille concentrant tous ses actifs afin de minimiser le risque de pertes.

En résumé, pour renforcer la sécurité, il est essentiel que les applications utilisent un chiffrement robuste et vérifient ce qui reste en mémoire. Les utilisateurs doivent toujours se déconnecter et redémarrer leur appareil pour minimiser les risques, et éviter les connexions à des réseaux non sécurisés.

Émergence de solutions Web3 compatibles et perspectives 

Pour répondre à ces défis, plusieurs solutions commencent à émerger. Les ZK rollups  – des solutions de seconde couche pour décongestionner les blockchains –  offrent une scalabilité jusque-là impossible, améliorant ainsi les performances des applications. L’abstraction de compte permet une connexion simplifiée, réduisant la complexité des interactions avec les dApps.

L’émergence de téléphones spécialement conçus pour le Web3, comme le Solana Saga, développé par Solana Mobile and OSOM, et que l’on peut acquérir pour 600 dollars, offre également des perspectives intéressantes, bien qu’ils posent des risques de sécurité. En effet, un attaquant pourrait y installer un firmware personnalisé avec une porte dérobée sur un téléphone Web3, le compromettant potentiellement avant que le client ne le reçoive. Ce risque n’est pas limité au téléphone Solana mais concerne tous les appareils avec des configurations de sécurité similaires.

Une autre solution est l’utilisation d’environnements d’exécution de confiance (TEE, Trusted Execution Environments). Les TEE sont censés fournir des zones sécurisées dans le processeur principal d’un appareil pour protéger les données sensibles, telles que les clés privées. Cependant, des vulnérabilités dans les TEE peuvent permettre aux attaquants d’extraire des codes PIN et d’accéder aux portefeuilles, soulignant l’importance d’une mise en œuvre correcte. Des questions se posent aussi autour du marché secondaire de ces technologies : comment être sûr qu’un “reset” total a bien été effectué ?Les success stories des applications mobiles Web3, notamment les portefeuilles et certains jeux, sont cruciales pour l’adoption massive. Cependant, les failles de sécurité pourraient toucher un public moins aguerri aux risques. Des intégrations de hardware wallets dans les smartphones par des acteurs majeurs comme Apple, Google ou Samsung pourraient transformer l’interaction des utilisateurs avec le Web3, en rendant ces technologies plus accessibles et sécurisées. De quoi générer de nouvelles opportunités et de nouvelles innovations tant pour l’écosystème Web3 que pour celui de la cybersécurité.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.