La majorité des exploits crypto de l'année à venir ne sera pas causée par un bug zero-day dans votre protocole favori, affirment les experts en sécurité crypto. Ce sera causé par vous.
C'est parce que 2025 a montré que la majorité des piratages ne commencent pas par un code malveillant ; ils commencent par une conversation, a déclaré Nick Percoco, directeur de la sécurité de la plateforme d'échange crypto Kraken, à Cointelegraph.
De janvier à début décembre 2025, les données de Chainalysis montrent que l'industrie crypto a été témoin de plus de 3,4 milliards de dollars de vol, la compromission de Bybit en février représentant près de la moitié de ce total.
Plus de 3,4 milliards de dollars ont été volés par des acteurs malveillants cette année. Source : ChainalysisPendant l'attaque, les acteurs malveillants ont obtenu un accès par l'ingénierie sociale, ont injecté une charge utile JavaScript malveillante qui leur a permis de modifier les détails des transactions et de siphonner les fonds.
Qu'est-ce que l'ingénierie sociale ?
L'ingénierie sociale est une méthode de cyberattaque qui manipule les gens pour qu'ils révèlent des informations confidentielles ou effectuent des actions qui compromettent la sécurité.
Percoco a déclaré que le champ de bataille pour la sécurité crypto sera dans l'esprit, pas dans le cyberespace.
Conseil 1 : Utilisez l'automatisation dans la mesure du possible
Les compromissions de la chaîne d'approvisionnement se sont également révélées être un défi majeur cette année, selon Percoco, car une faille apparemment mineure peut s'avérer dévastatrice plus tard, parce que "c'est une tour Jenga numérique, et l'intégrité de chaque bloc compte."
Dans l'année à venir, Percoco recommande de réduire les points de confiance humaine par des actions comme l'automatisation des défenses lorsque cela est possible et la vérification de chaque interaction numérique par authentification dans un "passage de la défense réactive à la prévention proactive."
"Dans la crypto en particulier, le maillon le plus faible reste la confiance humaine, amplifiée par la cupidité et le FOMO. C'est la faille que les attaquants exploitent à chaque fois. Mais aucune technologie ne remplace les bonnes habitudes," a-t-il ajouté.
Conseil 2 : Compartimentez l'infrastructure
Lisa, responsable des opérations de sécurité chez SlowMist, a déclaré que les acteurs malveillants ont de plus en plus ciblé les écosystèmes de développeurs cette année, ce qui, combiné aux fuites d'identifiants cloud, a créé des opportunités d'injecter du code malveillant, de voler des secrets et d'empoisonner les mises à jour logicielles.
"Les développeurs peuvent atténuer ces risques en épinglant les versions de dépendances, en vérifiant l'intégrité des packages, en isolant les environnements de construction et en examinant les mises à jour avant le déploiement," a-t-elle déclaré.
En entrant dans 2026, Lisa prédit que les menaces les plus importantes proviendront probablement d'opérations de vol d'identifiants et d'ingénierie sociale de plus en plus sophistiquées.
Source : SlowMist"Les acteurs de menace exploitent déjà des deepfakes générés par IA, du phishing personnalisé, et même de faux tests d'embauche de développeurs pour obtenir des clés de portefeuille, des identifiants cloud et des jetons de signature. Ces attaques deviennent plus automatisées et convaincantes, et nous nous attendons à ce que cette tendance se poursuive," a-t-elle déclaré.
Pour rester en sécurité, le conseil de Lisa pour les organisations est de mettre en œuvre un contrôle d'accès fort, une rotation des clés, une authentification soutenue par matériel, une segmentation de l'infrastructure, et une détection et surveillance des anomalies.
Les particuliers devraient s'appuyer sur des portefeuilles matériels, éviter d'interagir avec des fichiers non vérifiés, vérifier les identités sur des canaux indépendants, et traiter les liens ou téléchargements non sollicités avec prudence.
Conseil 3 : Preuve de personnalité pour lutter contre les deepfakes IA
Steven Walbroehl, co-fondateur et directeur technique de la société de cybersécurité blockchain Halborn, prédit que l'ingénierie sociale améliorée par l'IA jouera un rôle important dans les stratégies des pirates crypto.
En mars, au moins trois fondateurs crypto ont signalé avoir déjoué une tentative de pirates nord-coréens présumés de voler des données sensibles par de faux appels Zoom utilisant des deepfakes.
Walbroehl avertit que les pirates utilisent l'IA pour créer des attaques hautement personnalisées et contextuelles qui contournent la formation traditionnelle de sensibilisation à la sécurité.
Pour combattre cela, il suggère de mettre en œuvre une preuve cryptographique de personnalité pour toutes les communications critiques, une authentification basée sur matériel avec liaison biométrique, des systèmes de détection d'anomalies qui établissent une base de référence des schémas de transaction normaux, et l'établissement de protocoles de vérification utilisant des secrets ou phrases pré-partagés.
Conseil 4 : Gardez vos cryptos pour vous
Les attaques physiques, ou attaques physiques contre les détenteurs de crypto, ont également été un thème important de 2025, avec au moins 65 incidents enregistrés, selon la liste GitHub du Bitcoin OG et cypherpunk Jameson Lopps. Le dernier pic du marché haussier en 2021 était auparavant la pire année enregistrée, avec un total de 36 attaques enregistrées
Un utilisateur X sous le pseudo Beau, un ancien officier de la CIA, a déclaré dans un post X du 2 décembre que les attaques physiques sont encore relativement rares, mais il recommande toujours aux utilisateurs crypto de prendre des précautions en ne parlant pas de richesse ou en ne divulguant pas de détentions crypto ou de modes de vie extravagants en ligne pour commencer.
Source : BeauIl suggère également de devenir une "cible difficile" en utilisant des outils de nettoyage de données pour masquer les informations personnelles privées, telles que les adresses du domicile, et en investissant dans des défenses domestiques comme des caméras de sécurité et des alarmes.
Conseil 5 : Ne lésinez pas sur les conseils de sécurité éprouvés
David Schwed, un expert en sécurité qui a travaillé chez Robinhood en tant que directeur de la sécurité de l'information, a déclaré que son meilleur conseil est de s'en tenir aux entreprises réputées qui démontrent des pratiques de sécurité vigilantes, y compris des audits de sécurité tiers rigoureux et réguliers de leur pile entière, des contrats intelligents à l'infrastructure.
Cependant, quelle que soit la technologie, Schwed a déclaré que les utilisateurs devraient éviter d'utiliser le même mot de passe pour plusieurs comptes, opter pour l'utilisation d'un jeton matériel comme méthode d'authentification multifacteur et protéger la seed phrase en la chiffrant de manière sécurisée ou en la stockant hors ligne dans un lieu physique sécurisé.
Il conseille également d'utiliser un portefeuille matériel dédié pour les avoirs importants et de minimiser les avoirs dans les plateformes d'échange.
Connexe : Le spear phishing est la principale tactique des pirates nord-coréens : Comment rester en sécurité
"La sécurité dépend de la couche d'interaction. Les utilisateurs doivent rester hyper vigilants lors de la connexion d'un portefeuille matériel à une nouvelle application web et doivent valider minutieusement les données de transaction affichées sur l'écran du dispositif matériel avant de signer. Cela empêche la 'signature aveugle' de contrats malveillants," a ajouté Schwed.
Lisa a déclaré que ses meilleurs conseils sont d'utiliser uniquement des logiciels officiels, d'éviter l'interaction avec des URL non vérifiées et de séparer les fonds entre des configurations chaudes, tièdes et froides.
Pour contrer la sophistication croissante des escroqueries en ligne comme l'ingénierie sociale et le phishing, Percoco de Kraken recommande un "scepticisme radical" en tout temps, en vérifiant l'authenticité et en supposant que chaque message est un test de sensibilisation.
"Et une vérité universelle demeure : aucune entreprise, service ou opportunité légitime ne demandera jamais votre seed phrase ou vos identifiants de connexion. Dès qu'ils le font, vous parlez à un escroc," a ajouté Percoco.
Pendant ce temps, Walbroehl recommande de générer des clés en utilisant des générateurs de nombres aléatoires cryptographiquement sécurisés, une ségrégation stricte entre les environnements de développement et de production, des audits de sécurité réguliers et une planification de réponse aux incidents avec des exercices réguliers.
Magazine : Quand les lois sur la confidentialité et le LBC entrent en conflit : Le choix impossible des projets crypto
Source : https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
