
Conversation avec un prestataire de sécurité exceptionnel pour le Web3 : la bataille offensive et défensive de la sécurité dans le cloud
TechFlow SélectionTechFlow Sélection

Conversation avec un prestataire de sécurité exceptionnel pour le Web3 : la bataille offensive et défensive de la sécurité dans le cloud
À l'approche de la fin 2023, les signaux d'un marché haussier deviennent progressivement clairs, le nombre de projets Web3 s'implantant sur des serveurs cloud va augmenter rapidement, et le rôle du cloud en tant que couche d'infrastructure devient de plus en plus important.
Rédaction : CrossSpace
L'écosystème Web3, construit sur la technologie Blockchain (grand livre distribué), évolue rapidement. Les innovations technologiques des blockchains de niveau L1 et L2 rendent possible leur adoption comme prochain réseau informatique de base. Les infrastructures diverses s'améliorent continuellement comme des briques « Lego », tandis que les BUIDLers du Web3 développent sans cesse de riches dApps dans de multiples secteurs d'application.

Les services cloud constituent une infrastructure fondamentale particulièrement importante pour le Web3 et sont indispensables à l'ensemble de cet écosystème. Chaque année, des dizaines de milliers de programmes fonctionnent sur des serveurs cloud. Selon les données d'un rapport public de l'organisme de sécurité Immunefi, « en 2022, 46,5 % des pertes financières lors d'incidents de sécurité provenaient d'infrastructures de base, notamment liées à la gestion, aux pratiques et aux plans de réponse d'urgence concernant les clés privées ». La sécurité cloud du Web3 fait face à des défis constants : fuite de clés privées, accès non autorisé, analyse et audit des Smart Contracts, attaques par déni de service distribué (DDoS), menaces internes, conformité et stabilité posent continuellement problème aux BUIDLers du Web3, tout en imposant de nouveaux défis aux fournisseurs de services cloud et aux prestataires de sécurité.
Entreprise pionnière dans les services cloud, Amazon Web Services (AWS) est depuis longtemps un leader du secteur. Aujourd'hui, AWS adopte activement l'écosystème Web3 et collabore avec CrossSpace, marque communautaire de premier plan dans le domaine du Web3, pour organiser une série de séminaires en ligne et hors ligne sur la « Sécurité du Web3 », explorant en profondeur les questions de sécurité liées aux services cloud, recueillant les retours d'expérience des bourses, blockchains, infrastructures et dApps, et examinant des solutions concrètes et applicables.
Dans le cadre de cette série de discussions, nous avons eu l'honneur d'interviewer quatre prestigieuses organisations spécialisées en sécurité Web3 — Beosin, CertiK, MetaTrust et SlowMist (Manwu) — ainsi qu'un expert de AWS spécialisé dans la sécurité cloud, afin d'explorer ensemble les défis actuels de la sécurité cloud et les pistes de solution.
Pourquoi la sécurité cloud du Web3 est-elle si importante ?
La sécurité est primordiale pour toute entreprise. Les services cloud et le Web3 sont interdépendants. Depuis le lancement du réseau principal de Bitcoin en 2009 puis d'Ethereum en 2015, les incidents de sécurité et les pertes d'actifs augmentent chaque année, rendant la sécurité encore plus cruciale comme fondement du monde Web3. Que ce soit pour les bourses centralisées ou les scénarios décentralisés tels que DeFi, GameFi, NFT, DAO, Social, Bridge, etc., tous impliquent divers cas d'utilisation basés sur des tokens. Assurer la sécurité de tout le processus de traitement des tokens devient donc une question essentielle pour les BUIDLers du Web3. En tant qu'expert en sécurité cloud ayant accompagné de nombreux projets Web3, AWS suit de près les questions de sécurité dans les domaines Blockchain et Web3, communique activement avec les porteurs de projet, et organise régulièrement des partages et formations autour de la sécurité Web3 sous différentes formes.
À l'approche de la fin 2023, les signaux d'un marché haussier se précisent progressivement, entraînant une augmentation rapide du nombre de projets Web3 s'appuyant sur des serveurs cloud. Le rôle du cloud comme couche d'infrastructure fondamentale devient de plus en plus important ; par conséquent, la sécurité cloud constitue un élément incontournable auquel chaque développeur et BUIDLer doit prêter attention.
Quels sont les principaux défis actuels en matière de sécurité cloud ?
Lors de cette interview, la société de sécurité Beosin a indiqué que « les attaques contre les fournisseurs de services cloud représentent l'une des principales formes d'attaque récentes, utilisant notamment des attaques DDoS, le détournement de comptes ou l'injection de logiciels malveillants visant les services de calcul et de stockage offerts par ces fournisseurs. Ces attaques peuvent entraîner des fuites de données sensibles et des interruptions de service. » L'équipe a ajouté : « Récemment, Mixin Network et Fortress IO ont subi respectivement des pertes de 200 millions et 15 millions de dollars dus à des attaques sur leurs fournisseurs de services cloud. »
Parmi les causes fréquemment mentionnées par les experts en sécurité lors de cet entretien figurent les fuites de données sensibles, notamment celles de clés privées. Le rapport trimestriel de sécurité de CertiK souligne également que « la fuite de clés privées a été l'une des causes majeures de pertes importantes ce trimestre. Quatorze vols de clés privées ont entraîné une perte totale de 204 millions de dollars. »
Outre les fuites de données, l'équipe SlowMist (Manwu) a identifié plusieurs autres catégories de menaces liées à la sécurité cloud :
-
Fuite de comptes et accès non autorisé : les pirates peuvent obtenir des identifiants et des mots de passe via le craquage de mots de passe, l'ingénierie sociale ou des attaques exploitant des mots de passe faibles, permettant ainsi un accès non autorisé.
-
Attaques DDoS : les attaques par déni de service distribué (DDoS) peuvent rendre les services cloud indisponibles en saturant les ressources ou le trafic réseau, provoquant ainsi l'arrêt du service et l'interruption des activités.
-
Menaces internes malveillantes : des utilisateurs ou employés internes peuvent abuser de leurs droits pour voler des données, supprimer des informations ou mener d'autres actions malveillantes.
-
Conformité et gestion des données : les porteurs de projet n'utilisent pas efficacement les outils disponibles sur les plateformes des fournisseurs cloud pour protéger les données, ce qui peut conduire à la confusion ou à la perte de données.
Face aux attaques multidimensionnelles des hackers et aux risques internes potentiels, les experts en sécurité Web3 appellent à reconnaître que la sécurité cloud exige une stratégie globale et ne peut pas se limiter à des mesures de protection simples et unidimensionnelles.
La bataille du « chasseur et chassé » en matière de sécurité cloud : comment sortir de l'impasse ?
Face aux défis persistants en matière de sécurité cloud, comment bien « se défendre » et assurer la sécurité des données privées et des fonds des utilisateurs ? Les experts et équipes des différentes institutions de sécurité ont partagé leurs points de vue.
Équipe Beosin :
« Les fuites de données sensibles surviennent fréquemment. Nous recommandons aux ingénieurs de chiffrer systématiquement les données au moment du stockage et de la transmission afin d'éviter tout accès non autorisé par des tiers. Pour les données sensibles telles que les clés privées, nous conseillons d'utiliser le calcul confidentiel et le chiffrement homomorphe afin d'éviter toute exposition des clés privées.
Par ailleurs, les porteurs de projet doivent s'assurer que les clients n'accèdent aux services cloud que via des API sécurisées, évitant ainsi les attaques par injection ou les scripts intersites (XSS). L'utilisation d'API permet également d'authentifier le client et de vérifier les données avant tout accès au service cloud, garantissant ainsi la sécurité de l'accès et celle des données. Compte tenu de la faible capacité de protection des ordinateurs personnels utilisés comme clients, il n'est pas recommandé d'appeler directement les API depuis un PC personnel pour accéder aux données ou effectuer des opérations de maintenance. Il est préférable d'utiliser un bureau virtuel hébergé sur le cloud ou un bastion sécurisé pour ces tâches. »
Professeur Kang Li, directeur de la sécurité chez CertiK :
« Nous observons principalement deux types de risques courants liés à l'utilisation des plateformes cloud : premièrement, une mauvaise configuration des données cloud par les utilisateurs ; deuxièmement, le fait que les utilisateurs cachent les services backend du cloud dans les dApps. Bien que les plateformes cloud offrent de nombreuses protections des ressources et contrôles des données, une mauvaise configuration par les utilisateurs permet souvent à des personnes extérieures d'accéder à leurs interfaces administratives. Un autre risque provient des développeurs de projets qui intègrent des services backend du cloud directement dans les dApps — certains développeurs créent, pour plus de commodité, une interface qu'ils pensent réservée à un usage interne, permettant ainsi à l'application mobile d'accéder directement au backend sans exposition publique. Même si les API cloud du projet disposent d'un contrôle spécifique, cela multiplie néanmoins les interactions entre la dApp et le backend.
Face à ces deux types de risques, CertiK a développé des services de sécurité spécifiques pour le cloud et les dApps qui y sont hébergées, incluant l'audit de code, l'évaluation des risques, la vérification de l'identité et les enquêtes d'antécédents des équipes. Le professeur Li ajoute : “Si vous ne pouvez pas garantir que l'équipe de développement est absolument digne de confiance, faire auditer la dApp par des experts en sécurité reste une étape indispensable.” »
Professeur Yang Liu, cofondateur de MetaTrust :
« La sécurité cloud, en tant que couche d'infrastructure, doit assurer la protection des données et la confidentialité des utilisateurs. Il faut mettre en place une protection complète de bout en bout, en insistant particulièrement sur la protection des données. Des permissions d'accès distinctes doivent être définies selon les types de données afin d'empêcher tout accès non autorisé. Étant donné la complexité des mécanismes cloud, chaque catégorie de données doit disposer d'un mécanisme d'accès indépendant.
En outre, la conformité des données doit aussi être prise au sérieux. De nombreuses données sont aujourd'hui stockées dans le même environnement cloud, mais en raison de différences géographiques, elles peuvent être soumises à des restrictions d'accès. Ignorer ces aspects peut facilement entraîner des problèmes de conformité liés à la fuite transfrontalière des données. Par conséquent, le contrôle d'accès et l'authentification sont également très importants. Nous devons mettre en place des mécanismes stricts et granulaires de contrôle d'accès et d'authentification pour empêcher tout accès non autorisé. »
Équipe SlowMist (Manwu) :
« La sécurité cloud nécessite une stratégie globale intégrant un contrôle d'accès approprié, le chiffrement, une surveillance continue, des audits complets réalisés par des organismes de sécurité spécialisés, ainsi que des formations et sensibilisations. Ces mesures sont essentielles pour garantir la sécurité et la stabilité de l'environnement cloud. Par exemple, le chiffrement de bout en bout des données critiques est recommandé. Si le chiffrement est utilisé, la gestion sécurisée des clés de chiffrement est primordiale ; il convient de conserver des sauvegardes des clés, mais de préférence pas dans le cloud. Enfin, la prévention des erreurs de configuration, vulnérabilités élémentaires, réduit considérablement les risques liés à la sécurité cloud. Qu'il s'agisse d'utilisateurs individuels, de petites et moyennes entreprises ou d'entreprises utilisant le cloud à grande échelle, assurer autant que possible la sécurité du réseau et des équipements est crucial. »
AWS : la sécurité est un modèle à plusieurs couches, comme un oignon
Qu'il s'agisse du Web2 ou du Web3, AWS s'engage activement à fournir des services informatiques et de sécurité à une grande variété de projets. En tant qu'entreprise leader dans le cloud et actrice engagée, l'expert technique Web3 d'AWS considère que la sécurité ne repose pas sur un modèle à couche unique (comme un œuf), mais sur un modèle multicouche similaire à un oignon, avec des couches imbriquées les unes dans les autres. Plus précisément, la première couche concerne la détection des menaces et la réponse aux incidents, la deuxième couche porte sur l'authentification et le contrôle d'accès, la troisième couche traite de la sécurité du réseau et de l'infrastructure, la quatrième couche concerne la protection des données et la vie privée, et la cinquième couche couvre la gestion des risques et la conformité. Pour chacune de ces couches, AWS propose des solutions complètes permettant aux porteurs de projets Web3 de gérer plus sûrement l'ensemble de leur système applicatif.
Conclusion : pour remporter la bataille du "chasseur et chassé" en matière de sécurité cloud du Web3, tous les acteurs doivent s'engager conjointement
La sécurité de l'écosystème Web3 dépend étroitement de celle de l'infrastructure cloud. Tous les intervenants liés à cette infrastructure — porteurs de projet, fournisseurs de services cloud et prestataires de sécurité — doivent collaborer pour élaborer des stratégies de sécurité globales, procéder régulièrement à des audits et à des auto-inspections afin de garantir un niveau maximal de sécurité.
Pour les développeurs Web3, en plus de renforcer leur intégrité morale, il est essentiel de perfectionner continuellement leurs compétences en matière de sécurité. Ils peuvent participer activement aux événements et formations destinés aux développeurs organisés par AWS, tels que « Web3 Ethical Hacking and Security Best Practice », afin d'identifier les risques contractuels courants.
Notre objectif commun est de construire un écosystème Web3 sûr et durable. Nous espérons que cet entretien vous aura apporté des éclairages utiles que vous saurez appliquer dans votre pratique quotidienne.
Si vous êtes un porteur de projet Web3 souhaitant savoir comment concevoir une application cloud sécurisée, veuillez cliquer sur ce lien pour en savoir plus.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News












