Rejoignez-Nous sur

54% des échanges de crypto-monnaie ont des trous de sécurité

1*4ld4910NAmglBpnfR O PQ

News

54% des échanges de crypto-monnaie ont des trous de sécurité

Échange de rapport de sécurité par ICORating.com

Au fil des ans, les voleurs numériques ont volé des millions de dollars en crypto-monnaie à divers échanges. Le marché de la cryptographie attire un grand nombre d'investisseurs et tout le monde espère obtenir les rendements les plus élevés. Cela ne gêne personne de constater qu'une fois votre crypto volée, vous n'obtiendrez pas le remboursement, les transactions et les actifs ne sont aucunement sécurisés. rend l'investissement dans les crypto-monnaies vraiment dangereux. Les plus grands échanges cryptographiques contiennent d’énormes quantités d’argent numérique. Ces faits sont vraiment attrayants pour les pirates.

Au cours des 8 dernières années, environ 31 échanges cryptographiques ont été piratés et plus d'un milliard de dollars (plus de 1,3 milliard de dollars) volés. Certains des échanges cryptographiques ont appris de leurs erreurs et ont réussi à se rétablir, d'autres ont fait faillite et plusieurs des plus «heureux», tels que Mt.Gox, Bitcoinica, PicoStocks, Bitcurex, ont été attaqués même plusieurs fois.

Lors de la préparation de cette note de sécurité, nous avons évalué les mesures de sécurité par rapport aux vulnérabilités potentielles suivantes qui pourraient avoir un impact négatif sur les échanges et leurs utilisateurs.

Le rapport traitera en détail des questions suivantes:

  • Erreurs de console
  • Sécurité du compte utilisateur
  • Bureau d'enregistrement et sécurité de domaine
  • Sécurité des protocoles Web

Nous avons sélectionné des bourses dont la valeur quotidienne des échanges dépasse un million de dollars US; le nombre total d'échanges sur la liste est de 100.

Erreurs de console

Ces erreurs dans le code peuvent entraîner le dysfonctionnement de certains systèmes et entraîner des problèmes pour leurs utilisateurs. Ce type de vulnérabilité n’est généralement pas critique, mais il faut en tenir compte, car dans certains cas, ces erreurs ont entraîné une perte de données.

  • Échanges qui ne comportent ni erreur ni avertissement concernant ce type d'erreur: 49%
  • Échanges sans erreurs: 68%

Conclusion: 32% des échanges ont des erreurs de code, ce qui conduit à certains défauts de fonctionnement.

Sécurité du compte utilisateur

Un compte distinct a été créé pour chaque échange. Les paramètres suivants ont été évalués:

  1. La possibilité de créer un mot de passe avec moins de 8 symboles
  2. La possibilité de créer un mot de passe avec des chiffres ou des lettres uniquement
  3. Vérification de l'e-mail immédiatement après la création du compte
  4. La présence ou l'absence de 2FA

Les résultats de cette évaluation sont les suivants:

  • 41% des échanges permettent des mots de passe avec moins de 8 symboles
  • 37% des échanges permettent des mots de passe avec des chiffres ou des lettres uniquement
  • 5% des échanges permettent la création de comptes sans vérification de l'email
  • 3% des échanges manquent 2FA
  • Seulement 46% des échanges respectent les quatre paramètres

Bureau d'enregistrement et sécurité de domaine

Nous avons utilisé la plateforme cloudflare (https://www.cloudflare.com/domain-security-check) pour rechercher dans ces échanges des vulnérabilités liées à leur registraire et domaine:

  1. Verrouillage du registre; Le verrouillage du registre est un indicateur spécial dans le registre (pas votre bureau d'enregistrement) qui empêche quiconque d'apporter des modifications à votre domaine sans communication hors bande avec le registre.
  2. Serrure de registre; Le verrouillage du bureau d'enregistrement (à ne pas confondre avec le verrouillage du registre) empêche ce type de détournement de domaine en exigeant plus qu'un simple code d'autorisation pour modifier les informations du registre global.
  3. Comptes de rôle; Les entreprises soucieuses de leur sécurité évitent de divulguer ce type d'informations privées en utilisant des comptes de rôle pour enregistrer leurs noms de domaine. Les comptes de rôle protègent les membres de votre organisation des attaques d’agresseurs.
  4. Expiration; Nous recommandons une fenêtre d'expiration d'au moins 6 mois pour les domaines de haut profil. C'est une marge de manœuvre suffisante pour faire face à des complications imprévues telles qu'un employé du propriétaire du domaine qui quitte l'entreprise (encore une fois, c'est une bonne raison d'utiliser des comptes de rôles).
  5. DNSSEC; DNSSEC élimine le risque d'empoisonnement du cache DNS en authentifiant toutes les requêtes DNS avec des signatures cryptographiques. Au lieu de mettre en cache aveuglément les enregistrements DNS, les serveurs DNS rejetteront les réponses non authentifiées.

Il existe trois résultats possibles pour chaque élément: Tous les éléments ci-dessus fonctionnent correctement (1), Aucun ne fonctionne correctement (0), avertissement (0,5). Les résultats de cette évaluation sont les suivants:

  • Seulement 2% des échanges utilisent le verrouillage du registre
  • Seulement 10% des échanges utilisent DNSSEC
  • Aucun échange n'a eu de problèmes avec les cinq éléments

Seulement 4% d’échanges utilisant les meilleures pratiques dans 4 sur 5 de ces domaines.

Sécurité des protocoles Web

Nous avons vérifié si les échanges examinés possèdent des en-têtes assurant la protection contre diverses attaques. Nous avons utilisé la ressource suivante: https://www.htbridge.com/websec/. Selon que le protocole en question était utilisé par un commutateur, il était noté 1 ou 0. Nous avons vérifié si les en-têtes suivants étaient présents:

  1. En-tête Strict-Transport-Security (un en-tête HTTP-Strict-Transport-Security (HSTS) oblige les navigateurs à parcourir le site Web en HTTPS).
  2. En-tête X-XSS-Protection (X-XSS-Protection définit la manière dont les navigateurs doivent appliquer la protection des scripts entre sites).
  3. En-tête de stratégie de sécurité du contenu (Content-Security-Policy (CSP)) permet de définir des sources autorisées pour chaque type de contenu, contribuant ainsi à la défense contre les attaques XSS. Il permet également de définir plusieurs comportements de navigateur, tels que l'application du bac à sable, valeur à envoyer dans l'en-tête HTTP Referer.)
  4. En-tête X-frame-options (un en-tête X-frame-options spécifie si le site Web doit être autorisé à être encadré et à quelle origine. Le blocage du cadrage permet de se défendre contre les attaques telles que le détournement de clic.)
  5. En-tête X-content-type-options (options-x-content-type-peut ordonner aux navigateurs de désactiver la possibilité de détecter le type de contenu de la page et d'utiliser uniquement le type de contenu défini dans la directive elle-même. Ceci fournit une protection contre XSS ou lecteur par téléchargement. attaques.)

Les résultats de cette évaluation sont les suivants:

  • Seulement dix% des échanges ont tous les cinq en-têtes
  • 29% des échanges n'ont aucun des en-têtes mentionnés ci-dessus
  • Seulement 17 les échanges ont un en-tête de politique de sécurité du contenu

Cote de sécurité générale des échanges

Les échanges sélectionnés ont été analysés selon les catégories mentionnées ci-dessus avec le système de notation suivant:

  • Erreurs de console: maximum 5 points par catégorie, 2 paramètres analysés
  • Sécurité du compte utilisateur: maximum 18 points, 4 paramètres analysés
  • Bureau d'enregistrement et sécurité de domaine: 34 points maximum, 5 paramètres analysés
  • Sécurité des protocoles Web: maximum 43 points, 5 paramètres analysés

100 points maximum score possible en totalisant ce qui précède.

Conclusion

Le rapport complet peut être trouvé ici. Les échanges devraient renforcer leur sécurité pour protéger leurs utilisateurs contre la perte de leurs fonds.



Traduction de l’article de Il Kadyrov : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top
venenatis, Praesent non quis ipsum eget Sed id ut tempus