6 min

Les NFT, nouveau terrain de jeu des cybercriminels

Objets de toutes les convoitises, les jetons non fongibles ne pouvaient laisser indifférents les hackers. Usurpation de comptes, campagnes de phishing, NFT contrefaits… Les cas de piratages se sont multipliés ces derniers mois. État des lieux.

Xavier Biseul

Journaliste indépendant, Xavier Biseul est spécialisé dans la transformation numérique des entreprises. Collaborant à différents médias IT – Le Journal du Net, Silicon, IT for Business, ZDNet… - il analyse les impacts du cloud, de l’intelligence artificielle, de la blockchain ou de l'internet des objets sur les organisations. Une expertise forgée par une vingtaine d’années d’expérience dans la presse BtoB. Xavier a accompagné l’aventure 01, de l’hebdomadaire 01 Informatique au site 01Business.com (NextRadioTV, Altice Média) dont il était le chef d’édition.

Voir tous les articles

Les cybercriminels sont finalement « assez prévisibles ». Après les crypto-monnaies, ils ont fait des NFT leur nouveau terrain de jeu. L’incroyable engouement autour des jetons non fongibles ne pouvait que susciter leur intérêt. Ces certificats de propriétés d’objets numériques – photos, dessins, vidéos… – inscrits dans une blockchain et échangeables contre des monnaies virtuelles font l’objet d’une véritable bulle spéculative.

D’après Chainalysis, un minimum de 44,2 milliards de dollars aurait été consacré à l’achat de NFT l’an dernier contre seulement 106 millions de dollars en 2020. Si les NFT sont conçus à l’origine pour permettre à des créateurs de vivre de l’art sans passer par des intermédiaires, leur popularité a rapidement dépassé la sphère artistique pour gagner un public plus large.

Tout contenu devient aujourd’hui « NFTisable », de la chasse aux œufs de Pâques virtuelle à la Cité des Sciences et de l’Industrie, en passant par la gifle de Will Smith à Chris Rock lors de la dernière édition des Oscars. Au Japon, l’e-commerçant Rakuten a créé sa place de marché NFT et le PDG d’Amazon s’est récemment dit ouvert à la vente de NFT. Le profil du possesseur de NFT a, lui aussi, évolué. Les jeunes geeks font place à des investisseurs attirés par l’appât du gain.

Nouvelle technologie mais menaces traditionnelles

Si la technologie NFT est censée offrir un certificat d’authenticité infalsifiable, elle reste vulnérable à des menaces somme toute banales comme le rappelle un billet de blog de Tehtris. Cyber content specialist pour cette entreprise française de cybersécurité, Nathalie Granier observe que « les hackers recourent à plusieurs techniques qu’ils ont tendance à combiner entre elles ».

Ils exploitent tout d’abord les vulnérabilités des plateformes de NFT. « De création récente, elles se présentent comme des plateformes d’achat en ligne sans avoir forcément pris en compte la sécurité lors de leur conception« , poursuit Nathalie Granier. En janvier, un bug de répertoriage sur la marketplace OpenSea a permis de voler au moins 1,3 million de dollars de NFT. Le même mois, Lympo, plateforme de sport NFT subissait un piratage dont le préjudice s’élevait à 18,7 millions de dollars.

Plus classiquement, l’usurpation de compte permet aux cybercriminels de prendre possession et de revendre des certificats d’authenticité ne leur appartenant pas. En mars 2021, des utilisateurs de Nifty Gateway rapportaient que leurs comptes avaient été compromis et leurs collections de NFT volées. Autre technique assez fréquente, le typosquattage consiste à créer des faux sites qui ressemblent trait pour trait aux sites légitimes. Les utilisateurs de la plateforme Rarible en ont été victimes.

Les détenteurs sont aussi sujets à des campagnes de phishing. « Ils sont invités par le support technique d’une plateforme de NFT à changer de mot de passe ou à se connecter à leur compte pour confirmer une transaction ou signer un contrat », illustre Nathalie Granier. Le piratage de smartphones ou SIM swaping permet, lui, de prendre le contrôle de profils sociaux.

Manipulation de cours et blanchiment d’argent

Des risques portent sur l’authenticité même des NFT. De fausses publicités transitent sur les messageries instantanées et les médias sociaux comme Discord, Instagram ou Twitter quand ce ne sont pas faux jetons qui sont en mis en circulation. Pensant faire une bonne affaire en s’offrant le premier NFT signé par le célèbre créateur Banksy, un investisseur s’est fait arnaquer de plus de 300 000 dollars.

Avec la technique dite de « rug pull« , une personne malintentionnée crée un projet NFT de toutes pièces dans le seul but d’escroquer des investisseurs imprudents. En mars, le ministère américain de la Justice a ainsi accusé les créateurs de la collection « Frosties NFT » de fraude et de blanchiment d’argent.

Des cybercriminels peuvent être à la fois vendeurs et acheteurs pour faire monter les enchères et apprécier artificiellement le cours des NFT. Des bots, baptisés scalpers, permettent d’automatiser cette manipulation de cours. Dans son étude, Chainalysis observe une forte tendance à ce « wash trading« , c’est-à-dire « l’exécution d’une transaction dans laquelle le vendeur est des deux côtés de la transaction afin de brosser un tableau trompeur de la valeur et de la liquidité d’un cryptoactif. »

Chainalysis pointe une autre dérive : le blanchiment d’argent. Selon la société spécialisée dans l’analyse des blockchains, ce fléau aurait bondi au troisième trimestre de 2021, franchissant le million de dollars. Il reste toutefois un épiphénomène si l’on compare le cas des NFT aux 8,6 milliards de dollars d’argent blanchi en crypto-monnaies l’an dernier.

Règles d’hygiène et points de vigilance

Comment un possesseur de NFT doit-il se protéger face à la multiplication des menaces ? Pour Nathalie Granier, il convient de respecter les règles hygiène comme ne pas ouvrir un lien malicieux ou une pièce jointe suspecte dans un courriel, un message d’un réseau social ou d’un SMS. L’utilisateur doit composer un mot de passe robuste (12 caractères) ou, mieux, recourir à une authentification multi-facteurs. Il est conseillé de ne pas stocker ses cryptoactifs sur un ordinateur ou une clé USB mais de faire appel à des espaces cloud dédiés ou à des portefeuilles physiques sécurisés comme ceux proposés par Ledger.

Pour Kim Grauer, director of Research chez Chainalysis, il convient également de bien contrôler la légitimité de la plateforme de vente et s’assurer de l’identité du vendeur. « Les utilisateurs ne doivent jamais traiter avec des NFT qui ne sont pas vérifiés, avec une « blue checkmark ». » Plus basiquement, un outil de reconnaissance d’images permet de déceler de faux grossiers. Il existe également des sites de suivi des collections NFT comme BitDegree, Moby ou Rarity.Tools.

Enfin, l’assainissement du marché NFT viendra de sa régulation, les pirates profitant actuellement d’un certain vide réglementaire. « Le droit sur la propriété intellectuelle ou sur les jeux d’argent pourrait, par exemple, s’appliquer« , estime Nathalie Granier. De même, Kim Grauer estime que l’avenir du marché des NFT passera par une régulation institutionnelle du marché. Elle note que les choses bougent dans ce sens. Le Groupe d’action financière (GAFI) ou Financial Action Task Force (FATF), organisme intergouvernemental de lutte contre le blanchiment d’argent et le financement du terrorisme, a récemment publié ses directives. Aux États-Unis, le Financial Crimes Enforcement Network (FinCEN) pourrait envisager de traiter certains NFT comme des « substituts de devises ». « Cela soumettrait la technologie aux lois sur la lutte contre le blanchiment d’argent et le financement du terrorisme« , se réjouit Kim Grauer. De son côté, l’Union européenne avance sur son projet de règlement « Markets in Crypto-Assets », dit MiCA, qui vise à encadrer les marchés des cryptoactifs.

Partager cet article avec un ami