Les recherches de mot clé NFT ont dépassé celles des cryptomonnaies, c’est la dernière annonce de Google en décembre 2021. La conception numérique a le vent en poupe !
Selon un rapport de DappRadar[1], en octobre dernier, les NFT auraient généré 148 millions de dollars de plus par rapport à septembre. Comment ne pas attirer la convoitise en voyant tant de dollars générés ?
Il était évident que les cyberattaquants allaient s’intéresser de près au sujet et que les dérives relatives à ce nouveau concept n’allaient pas tarder à se faire connaître.
Les NFT sont « LE » nouveau terrain de jeu pour les attaques contre les différentes crypto-monnaies et des groupes comme Lazarus Group en sont friands.
Nous n’aborderons pas les méandres de la crypto sphère, mais nous allons tenter de percer le mystère des NFT, cet acronyme que l’on voit désormais dans tous les médias et nous intéresser aux nouvelles menaces cyber qui pourraient en découler.
NFT : De quoi parle-t-on ?
Commençons par les bases. Qu’est-ce qu’un NFT ? Et qu’est-ce que cela signifie exactement ? NFT : « Non Fongible Token » ou « jeton non fongible ».
Très bien, mais ça n’éclaire pas vraiment la situation…
Crée depuis 2014, le NFT est un bien numérique ou physique unique, dont la valeur lui est propre c’est-à-dire qu’il ne peut pas être échangé contre un bien ou un actif d’une même valeur.
« Non fongible. » signifie donc qui « est unique et ne peut être remplacé par autre chose ».
Par exemple, un bitcoin est fongible : vous pouvez l’échanger contre un autre bitcoin, et vous aurez exactement la même chose.
Cependant, une carte à collectionner unique en son genre n’est pas fongible. Si vous l’échangez contre une autre carte, vous aurez quelque chose de (complètement) différent.
Et du fait qu’il porte sa propre valeur, cette dernière ne peut que fluctuer en fonction de différents phénomènes.
Comment les NFT fonctionnent ?
La plupart des NFT font partie de la blockchain Ethereum. Ethereum est une crypto-monnaie, comme le bitcoin ou le dogecoin, mais sa blockchain prend également en charge ces NFT, qui stockent des informations supplémentaires.
C’est une unité de valeur représentant un objet, un titre de propriété, un certificat virtuel rattaché à une œuvre et inscrit sur une blockchain.
Il convient de noter que d’autres blockchains peuvent implémenter leurs propres versions de NFT.
Ce qui fait l’authenticité d’un NFT c’est son certificat numérique constitué de « méta-données » qui va prouver que c’est bien l’œuvre originale de l’auteur, que ce dernier l’a bel et bien vendu, que l’acheteur est telle personne, et qu’il l’a acheté pour tel prix, ce jour-là, etc.
On obtient ainsi un identifiant unique. Cet identifiant correspond à une série de chiffre unique associée spécifiquement à un NFT.
Enfin, le fait d’être rattachée à une blockchain lui garantit la sécurité des transactions et les transactions se font sur les marketplaces, en cryptomonnaie.
Ainsi un billet de cinq euros est fongible, car il peut facilement être échangé contre un autre billet de cinq euros de même valeur, ce qui n’est pas le cas d’un NFT.
En revanche ce Tweet de Jack Dorsey, fondateur et PDG de Twitter en est un et est estimé à 2,5 millions de dollars.
Concrètement un NFT cela peut être :
- des chansons
- des noms de domaine
- des œuvres d’art
- des films
- des photos
- des tweets
- des GIF
- …
Cela peut concerner tous les secteurs :
- l’art
- les jeux vidéo
- l’événementiel
- les assurances.
- la musique
- la finance
- l’immobilier
- …
En résumé, un NFT est :
- unique
- rare
- traçable
- indivisible
- programmable
NFT et cybercriminalité ?
L’arrivée de ce nouveau concept entraîne avec lui de nouveaux types de criminalité. Les faux sites, l’usurpation d’identité, le phishing et les leurres sont autant de techniques utilisées par les hackers.
Pourquoi un tel attrait ? Parce que cela reste une possibilité simple et rapide de gagner de l’argent, et surtout, que ce type d’attaque laisse peu de traces.
Usurpation des comptes
Nifty Gateway (« une plate-forme d’enchères en ligne d’art numérique pour l’art symbolique non fongible »[2]) a été la première à rapporter le vol de NFT. En un week-end, les pirates auraient dérobé des œuvres d’art d’une valeur de plusieurs milliers de dollars. Pour ce faire, ces derniers ont piraté les comptes des utilisateurs, volés les mots de passe, des comptes bancaires et les certificats d’authenticité et les auraient revendus.
Un autre moyen plus direct cette fois, reste l’usurpation, qui consiste à vendre de faux NFT. Le criminel vend alors des œuvres qui ne lui appartiennent pas.
En octobre 2021, ce fut le cas d’un faux Banksy. Le criminel a inséré un lien sur le site officiel de Banksy, pour vendre un faux NFT, et bénéficier ainsi de la notoriété du site de l’artiste. L’arnaque a fonctionné puisqu’un acheteur s’est présenté et a perdu 380 000 dollars. L’histoire se termine bien puisque la victime nommé Pranksy a été remboursée.
L’artiste a aussi été victime d’usurpation de domaine. Ainsi ont été enregistré des domaines du types : banksynft[.]com et banksynfts[.]com
Le créateur de BD Derek Laufman, l’animateur Milos Rajkovic alias Sholim peuvent s’ajouter à la longue liste des victimes de ces criminels peu scrupuleux, se faisant passer pour les artistes.
Faux sites
Une tactique assez fréquente consiste à créer des faux sites qui ressemblent trait pour trait aux sites légitimes. Les utilisateurs s’y connectent, donnent leurs informations d’identification ou leur numéro de carte de crédit.
Le site Fractal, a ainsi était victime d’une attaque en décembre 2021. Les criminels ont utilisé un leurre, en piratant le serveur Discord. Ils se sont appuyés sur une annonce de vente en ligne de NFT. Les victimes y voyant une aubaine, ont cliqué sur l’offre et ont ainsi été redirigés vers un faux compte Fractal. C’est ainsi que 373 personnes ont été victimes de cette arnaque avec une perte de 150.000 dollars. Alors certes le nombre de victimes n’est pas colossal, mais il prouve que la menace est bien là.
Les escrocs peuvent aussi créer des faux magasins NFT et vendre des NFT qui n’existent pas. Ce type d’attaque basée sur le typosquattage devient légion, en effet les cybers criminels utilisent des noms de domaine qui usurpent l’identité des plateformes populaires (les artistes ne sont pas les seules victimes, comme vu plus haut) pour rendre leurs attaques plus crédibles.
Campagne de phishing
Une campagne de phishing (campagne d’infostealer de RedLine) a également été révélée en juin 2021. Les cybercriminels se sont fait passer pour des entreprises, pour ensuite prospecter auprès de nombreux artistes afin de leur proposer des partenariats. Une fois la relation établie, un lien malveillant a été injecté et a échappé à la vigilance des antivirus.
Pour plus de détails : https://bartblaze.blogspot.com/2021/06/digital-artists-targeted-in-redline.html
L’artiste FVCKRENDER a été une de ces victimes et s’est vu déposséder de 137 000 euros.
Exploit
Avec tout le buzz autour des jetons non fongibles (NFT), un autre côté, plus sombre, émerge ces derniers mois : la vente aux enchères d’exploits de cybersécurité.
Ainsi, une attaque par déni de service de type « zero-day » a été vendue, avec tous les droits de propriété transférés à l’enchérisseur retenu.
Même si cela peut sembler inoffensif, l’idée de vendre un cyber-exploit soulève évidemment des questions d’éthique et d’identité lorsqu’il est entre de mauvaises mains.
Les NFT deviennent donc un moyen idéal pour les pirates d’acheter et vendre des exploits et d’autres outils de piratage.
L’un des exemples les plus retentissants d’une attaque par exploit est celle qui a touché, en aout 2021, la plateforme Poly Network, société spécialisée dans le transfert de crypto-monnaies à l’origine d’une plateforme de finance décentralisée (DeFi). Un hacker chevronné a réussi à exploiter une vulnérabilité sur les systèmes de la plateforme et à lui voler près de 600 millions de dollars. L’histoire se finie exceptionnellement bien, puisque le pirate a restitué la quasi intégralité des fonds.
Autres attaques
On pourrait aussi citer d’autres arnaques, comme :
- des NFT contrefaits
- de faux parachutages ou airdrop : ce sont des faux jetons qui sont « parachutés » dans les porte-monnaie de cryptomonnaie et s’ils sont approuvés par les utilisateurs, les répercussions peuvent être irréversibles et entraîner le vol de tous les fonds des utilisateurs dans leur portefeuille
- le sim swapping : il s’agit pour les pirates de prendre le contrôle de vos téléphones
- des comptes de médias sociaux qui se font passer pour des affiliés, ou prétendant être membre d’une communauté, comme dans l’exemple ci-dessous.
- les bots : les scalpeurs, dont nous avions déjà parlé dans notre précédent article , utilisent des robots pour manipuler les prix des NFT, ou bien vendre de faux projets. Ces robots ont la capacité de repérer à la fois les consommateurs, mais aussi les artistes NFT.
- …
La liste risque de s’agrandir avec la croissance du phénomène et l’ingéniosité de nos attaquants.
Cette nouvelle forme d’arnaque étant récente, il y a encore trop peu de protection possible, aussi soyons vigilants et voyons quelques préconisations.
Préconisations
L’achat de NFT nécessite une hygiène de sécurité de base
Assurez-vous d’avoir une sécurité appropriée, pour cela nous vous conseillons :
- d’avoir une authentification multi facteurs
- de tokeniser vos tweets
- de bien sécuriser vos portefeuilles : achetez un portefeuille matériel directement sur le site
- de vérifier le nombre d’abonnés de l’interlocuteur
- de vérifier les liens. Assurez-vous que le site sur lequel vous achetez le NFT est légitime.
- de prêter attention aux fausses communautés
- soyez vigilant si votre interlocuteur est bizarrement absent des réseaux sociaux
- soyez vigilant si le montant proposé pour un éventuel partenariat parait peu cohérent
- soyez dubitatif en l’absence de contrat
C’est en faisant ces contrôles qu’un photographe Sud-Coréen : Jong Chan Han a pu éviter le pire ; et sécuriser immédiatement ses comptes.
Bien sûr à cette longue liste on peut encore et toujours ajouter l’éducation, la sensibilisation.
Enfin un cadre réglementaire solide devra être mis en place et adapté aux NFT et force est de constater qu’il en est encore à ses balbutiements.
L’avenir des NFTs
Le phénomène du Web 3 sera NFT ou ne sera pas !
Le marché mondial des NFT s’est élevé à 40 milliards de dollars l’année dernière. Même les industriels s’y mettent, comme Samsung qui a annoncé que les NFT seraient intégrés dans ses nouvelles télévisions connectées.
Le marché des NFT est un nouvel eldorado pour les cybercriminels qui veulent blanchir des actifs. Il faut donc s’attendre à une augmentation des attaques et avec elles des extorsions.
Les cybercriminels sont inventifs, créatifs, leurs approches se diversifient, sont de plus en plus complexes et plus sophistiquées. Twitter, Facebook, Telegram, Discord, … sont les canaux parfaits pour les cybercriminels.
Il faut prendre le train en marche et surtout anticiper ces nouvelles menaces. Il est impératif d’en mesurer les enjeux et les risques.
N’attendons plus, agissons !
[1] Rapport de DappRadar, Octobre 2021
[2] https://en.wikipedia.org/wiki/Nifty_Gateway