C’est donc officiel, la plateforme Crypto.com a subi son premier hack d’envergure ce 17 janvier 2022. Dans un communiqué, la startup revient en détail sur ce qui s’est réellement passé.
Premier Hack pour Crypto.com
Jusqu’ici, Crypto.com n’avait jamais eu à déplorer de piratage ayant conduit à un vol de cryptomonnaies. Mais le 17 janvier dernier, des opérations suspectes et l’alerte donnée par plusieurs clients ont conduit la plateforme à geler les retraits. La rumeur n’a pris que quelques minutes à se répandre sur la toile, via twitter notamment.
Que s’est-il passé ?
L’entreprise a indiqué qu’une faille dans le système d’authentification à double facteur (2FA) était à l’origine de l’attaque. Les pirates ont pu faire des retraits sur le compte de 483 clients précisément, sans qu’un code 2FA n’ait été nécessaire.
Les retraits frauduleux concernent principalement bitcoin et ethereum pour un montant proche de 34 millions d’euros.
Le CEO de Crypto.com, Kris Marszalek, a indiqué que l’intégralité des clients avaient été remboursés, ce qui est un moindre mal. Aurait-il pu en être autant si le préjudice avait été beaucoup plus important ?
Toujours est-il que nous allons devoir mettre à jour notre avis sur Crypto.com, où nous faisions état de l’absence de piratage depuis le lancement de la plateforme.
Une sécurité renforcée
Crypto.com a évidemment pris des mesures dont la migration vers une nouvelle infrastructure 2FA. Tous les jetons d’authentification client ont été révoqués dans l’affaire.
De plus, il faudra désormais attendre 24h avant de pouvoir retirer des fonds vers une nouvelle adresse.
Par ailleurs, l’entreprise a mandaté plusieurs sociétés de cybersécurité pour procéder à un nouvel audit complet de la plateforme.
Création du Worldwide Account Protection Program
Crypto.com annonce donc la création du WAPP, un mécanisme de protection des clients en cas de vol. Cette réassurance permettra de rembourser les clients à concurrence de 250.000$ à condition d’avoir respecté les conditions suivantes :
- Activer l’authentification multifacteur (MFA) sur tous les types de transaction où la MFA est actuellement disponible,
- Mettre en place un code anti-hameçonnage au moins 21 jours avant la transaction non autorisée signalée,
- Ne pas utiliser d’appareils jailbreakés,
- Portez plainte auprès des autorités compétentes.
Le programme WAPP sera déployé progressivement sur tous les marchés adressés par la plateforme.
Mais en conclusion, cela montre que d’une façon générale, les plateformes pourraient ne pas être en mesure d’assumer un hack de très grande ampleur et rembourser des clients qui perdraient plusieurs centaines de milliers de dollars.
