Lorsqu’un nouveau grand collectionneur de NFT, Larry Lawliet, a perdu plus de 2,7 millions de dollars (2,45 millions d’euros) de jetons non fongibles (dont sept coûteux Bored Apes) au début du mois, de nombreux acteurs du monde de l’art ont levé les yeux au ciel. Mais l’infortune de Larry Lawliet a rendu d’autres personnes inquiètes à l’idée que leurs propres actifs numériques subissent le même sort.
Le vol dont a été victime Larry Lawliet survient un mois seulement après que le collectionneur et galeriste new-yorkais Todd Kramer a fait appel à la communauté Twitter après avoir perdu pour 2,2 millions de dollars (2 millions d’euros) de NFT provenant des collections Bored Yacht Club et Mutant Ape Yacht. Dans les deux cas, les collectionneurs ont été victimes d’une escroquerie par hameçonnage : ils ont été dupés et ont donné des informations sensibles.
Comment se caractérisent exactement les « portefeuilles » en ligne et comment les protéger ? Ils diffèrent fondamentalement de leurs homologues hors ligne en ce qu’ils stockent les détails d’identification d’un bien plutôt que le bien lui-même.
« Lorsque de nombreuses personnes entendent “portefeuille”, elles pensent en réalité à l’outil que vous utilisez pour gérer votre portefeuille – il s’agit souvent de MetaMask sur Ethereum, ou de TempleWallet sur Tezos, explique Christopher King, cofondateur de ClubNFT, une plateforme et un service de conseils axés sur la protection des collectionneurs. Ceux-ci sont plus justement appelés “gestionnaires de portefeuilles”, le portefeuille étant plutôt un identifiant ou un ensemble de clés cryptographiques associées à une adresse dans la blockchain.» Les jetons eux-mêmes sont détenus par cette adresse, mais pour les NFT, les fichiers médias sont souvent stockés hors chaîne. Les vulnérabilités d’un tel système sont multiples mais, à un niveau fondamental, le passage à un système décentralisé fait peser sur les propriétaires la responsabilité de sécuriser leurs actifs.
« Nous sommes tellement habitués à ce que les banques et autres institutions prennent soin de nos actifs que nous ne savons pas comment nous protéger nous-mêmes, explique Amir Soleymani, un collectionneur de NFT. Un espace décentralisé est accessible à tout le monde, y compris aux mauvais acteurs ; il appartient à chacun d’entre nous d’apprendre à sécuriser et protéger nos actifs. »
« NOUS SOMMES TELLEMENT HABITUÉS À CE QUE LES BANQUES ET AUTRES INSTITUTIONS PRENNENT SOIN DE NOS ACTIFS QUE NOUS NE SAVONS PAS COMMENT NOUS PROTÉGER NOUS-MÊMES »
Alors qu’en cas de vol ou d’escroquerie hors ligne les auteurs peuvent être arrêtés et leurs biens restitués, dès que les clés ou le portefeuille d’un NFT sont dérobés, la valeur est irrémédiablement perdue. Les escrocs en ligne constituent l’un des risques les plus évidents, et les exemples de Kramer et Lawliet soulignent le défi que représente l’identification de sources fiables sur un marché encore jeune.
« Dans cette économie relativement nouvelle, les acheteurs ne sont pas assez conscients des risques et des tactiques potentielles des hackers », explique Fanny Lakoubay, fondatrice de LAL Art NFT Advisory, qui ajoute que « les acheteurs ne savent parfois même pas comment sécuriser leurs investissements ».
Les logiciels malveillants et les cyberattaques sont une autre source de préoccupation, d’où le nombre croissant d’initiatives et de solutions technologiques axées sur le stockage des NFT et des informations de sécurité hors ligne, notamment les registres et les portefeuilles de stockage à froid.
Cependant, et peut-être ironiquement, c’est l’élément hors ligne et humain qui présente le plus de risques. « Le maillon le plus faible du modèle de sécurité de la blockchain est l’utilisateur lui-même, explique Christopher King. Si un utilisateur partage la clé secrète d’un portefeuille avec quelqu’un d’autre, par accident ou suite à une attaque intelligente d’hameçonnage, cet utilisateur vient probablement de perdre tout ce qu’il possédait dans ce portefeuille. Si un utilisateur clique sur “approuver” une transaction qu’il a été amené à croire légitime alors qu’il s’agissait d’une tentative de vol, il vient d’autoriser le voleur à dérober ses biens.» Des menaces d’extorsion physique sont également signalées.
« LE MAILLON LE PLUS FAIBLE DU MODÈLE DE SÉCURITÉ DE LA BLOCKCHAIN EST L’UTILISATEUR LUI-MÊME »
Les personnes qui s’aventurent sur le marché de l’art numérique au bas de l’échelle peuvent penser qu’elles n’ont pas grand-chose à perdre. Mais, comme l’avertit la plateforme en ligne Vertical Crypto Art dans l’un de ses cours sur Internet, les auteurs de ces actes peuvent conserver vos coordonnées pour le jour où vos actifs auront pris de la valeur.
-
COMMENT SÉCURISER SES NFT :
Optez pour le « froid »
Il existe deux types de portefeuille : le « chaud », qui est constamment relié à l’Internet, et le « froid », qui ne l’est pas. Ce dernier est considéré comme plus sûr, bien que sa sécurité dépende de la capacité du propriétaire à se souvenir du détail des clés. Il est également important d’effectuer des contrôles de base de vos appareils, par exemple en n’oubliant pas d’installer les dernières mises à jour et un logiciel antivirus sûr.
Vérifiez les informations d’identification
Assurez-vous que les offres que vous recevez proviennent d’un compte ou d’un utilisateur vérifiés. Cela concerne aussi les courriels semblant provenir d’OpenSea, les messages demandant votre seedphrase (mots générés par votre portefeuille) et les spams tentant de vendre des NFT.
Prenez votre temps
La plupart des œuvres d’art liées à des NFT ne sont pas stockées dans la blockchain (elles peuvent être liées à un Inter Planetary File System, ou IPFS), et il convient donc d’envisager d’autres options de sécurité.
Gardez votre mot de passe en sécurité
Une fois qu’un mot de passe ou une clé a été saisi, la perte est irrécupérable. Envisagez des méthodes anciennes pour vous en souvenir – croyez-le ou non, le bon vieux papier, le stylo et les enveloppes peuvent parfois constituer les meilleures solutions.
Si cela semble trop beau pour être vrai… c’est que ça l’est en effet
Soyez méfiant, envisagez le pire et agissez en conséquence. Ce n’est peut-être pas l’approche la plus positive, mais elle peut s’avérer être la plus sûre.