Web3 est le terme inventé pour désigner ce qui pourrait devenir le prochain visage de l’internet. Le web est passé des pages contenant du contenu à la croissance des médias sociaux, et maintenant, le concept d’un internet décentralisé est discuté sous la bannière du Web3. Une partie de cette transformation pourrait inclure le « métavers », un environnement 3D et un monde virtuel pour faciliter les connexions sociales, qu’elles soient personnelles ou professionnelles. Votre identité dans le métavers pourrait également être liée à des portefeuilles de crypto-monnaies, à des jetons non fongibles (NFT) et à divers contrats intelligents.
Alors que les fournisseurs de technologie travaillent sur ces concepts, les chercheurs en cybersécurité de Cisco Talos ont offert leur point de vue sur les menaces potentielles auxquelles Web3, et le metaverse, seront confrontés. La récente vague d’hameçonnage subie par les utilisateurs d’OpenSea, au cours de laquelle les victimes ont été dupées pour signer des transactions contractuelles malveillantes et remettre leurs NFT, peut mettre en évidence les formes d’attaque que nous pourrions voir plus fréquemment à l’avenir.
Le premier problème abordé par l’équipe est l’utilisation de l’Ethereum Name Service (ENS) et potentiellement de services similaires à venir qui sont utilisés pour compacter les adresses des portefeuilles dans un format facilement mémorisable. Alors que certains d’entre nous spéculent sur la valeur potentielle future des domaines ENS et les enregistrent — comme « businessname.eth » — ces adresses pourraient être utilisées comme levier dans les attaques de phishing, d’autant plus que les domaines ENS sont enregistrés sur la blockchain et ne peuvent pas être supprimés facilement par des conflits de marques.
« Il n’est peut-être pas surprenant que les domaines ENS tels que cisco.eth, wellsfargo.eth, foxnews.eth et ainsi de suite ne soient pas réellement détenus par les entreprises respectives qui possèdent ces marques, mais plutôt par des tiers qui ont enregistré ces noms très tôt avec des intentions inconnues », explique Talos. « Le risque ici est évident ».
En outre, ceux qui enregistrent un domaine ENS peuvent utiliser leur nom, ce qui désanonymise une adresse et signale à d’autres les fonds qu’une personne a dans son portefeuille de crypto-monnaies, ce qui augmente potentiellement le risque d’être ciblé sélectivement par un acteur de la menace. Une brève recherche effectuée par Cisco Talos sur les détenteurs de domaines .ENS qui ont rendu leur adresse publique a révélé un certain nombre de « baleines » détenant de grandes quantités de crypto-monnaies et des NFT plutôt lucratifs.
Un certain nombre de titulaires révèlent également leur ville d’origine, leur nom complet et leur profil de médias sociaux — ce qui donne aux attaquants une image plus large des individus à cibler dans les attaques d’ingénierie sociale. « Pour beaucoup d’entre eux, l’identification de leur identité dans le monde réel et de leur localisation physique à partir du domaine ENS et du compte Twitter était presque triviale », indiquent les chercheurs.
Comme le Web3 sera un nouveau concept que les utilisateurs auront besoin de temps pour apprendre, un manque général d’éducation peut également rendre les individus plus sensibles aux arnaques et à la fraude.
« Une technologie peu familière peut souvent conduire les utilisateurs à prendre de mauvaises décisions », indique Cisco Talos. » Web3 ne fait pas exception à la règle. La grande majorité des incidents de sécurité affectant les utilisateurs de Web3 proviennent d’attaques d’ingénierie sociale. »
En outre, le clonage de portefeuille — déjà une menace dans la pratique — pourrait devenir une méthode d’attaque plus populaire à l’avenir. Pour ce faire, les victimes doivent renoncer à leur phrase d’amorçage, la clé secrète utilisée pour retrouver les portefeuilles perdus, et peuvent être sollicitées par le biais de l’ingénierie sociale, en se faisant passer pour un service d’assistance à la clientèle, ou en trompant les détenteurs de portefeuilles dans de faux processus de vérification.
Bien que Web3 soit encore en développement, il vaut la peine de prendre le temps de se familiariser avec cette technologie — surtout si vous prévoyez d’explorer le monde décentralisé à l’avenir. Cisco Talos recommande également de mettre en œuvre des mesures de sécurité de base, des gestionnaires de mots de passe et une authentification multifactorielle (MFA).