Que faire après votre première cyberattaque – Pour éviter qu’il n’y en ait une seconde

Phemex partage les leçons tirées de son incursion sans précédent.

Même les leaders d'opinion sont exposés aux risques liés à la gestion d'une entreprise en ligne. Phemex, une plateforme d’échange hybride qui intègre les meilleurs processus à la fois des plateformes centralisées et décentralisées, a subi une attaque de la part d’un acteur malveillant de premier plan à la fin du mois de janvier.

Plutôt que d'éviter cet événement indésirable, l'équipe de Phemex a choisi d'être franche et transparente à ce sujet – et peut-être est-ce la leçon la plus importante qu'ils puissent en tirer.

« Nous souhaitons utiliser cet article pour aborder l’incident, expliquer comment nous l’avons géré, et décrire les mesures que nous avons prises pour prévenir de tels incidents à l’avenir », déclare Federico Variola, PDG de Phemex.

Il a souligné que, bien que l'attaque ait été perpétrée par un acteur de menace extrêmement sophistiqué, la grande majorité des fonds des utilisateurs n'a jamais été en danger et que la plateforme a pris en charge toutes les pertes des utilisateurs.

« Nous avons également repris les opérations essentielles aussi rapidement que possible et immédiatement remanié notre infrastructure de sécurité des portefeuilles chauds afin de réduire considérablement ces risques de sécurité à l'avenir », a-t-il poursuivi.

Attaque et défense

L'attaquant possède un historique de piratages dans le domaine des cryptomonnaies et est considéré comme extrêmement sophistiqué, ce qui rend la nature de la cyberattaque complexe et difficile à prévenir. Ces auteurs n'ont pas été identifiés publiquement par les autorités, mais résident probablement dans un État qui soutient ce type d'action et sont vraisemblablement protégés contre toute poursuite ou autre action judiciaire.

La récente attaque de Bybit semblerait être lié au même groupe, selon Variola, mais les incidents diffèrent.

« Dans notre cas, un portefeuille chaud a été ciblé, » a-t-il déclaré. « Dans le cas de Bybit, c’était leur principal portefeuille froid ETH. »

Phemex utilise des systèmes distincts de portefeuilles chauds et froids afin de minimiser le risque de perte lors des « cas limites » – un terme de cybersécurité désignant un problème ou une situation se produisant aux extrêmes des limites normales ou attendues.

« Seuls les fonds de notre portefeuille chaud ont été volés, et cette minimisation des pertes est précisément la raison pour laquelle nous disposons de portefeuilles chauds et froids séparés dès le départ, » selon Variola. « Ce qui s’est passé est sans aucun doute un événement négatif, mais cela reste dans les limites de ce que notre plateforme d’échange peut gérer. »

L'attaque a été perpétrée par le biais d'ingénierie sociale, ciblant les employés de Phemex via Telegram. A rapport complet de l'incident apparaît sur Medium.

Les estimations situent le valeur totale des fonds volés s’élevaient à 85 millions de dollars, la transparence et la fiabilité envers les utilisateurs figuraient donc parmi les priorités majeures de Phemex au moment où l’attaque se déroulait.

« Nous avons immédiatement informé les utilisateurs, » poursuit Variola, « et avons pu leur assurer que leurs fonds étaient en sécurité en les encourageant à vérifier par eux-mêmes grâce à notre système d’auto-validation »Outil de Preuve de Réserves par Arbre de Merkle.”

Une fois que Phemex a contenu et évalué les dommages, l'étape suivante a été de minimiser les pertes. Certains fonds ont déjà été récupérés. Les fonds volés apparaissant sur d'autres plateformes ont été immédiatement gelés.

« La récupération des fonds est actuellement toujours en cours et nous espérons récupérer une somme décente d’actifs volés », déclare Variola. Pour autant, « nous disposons toujours des ressources pour fonctionner à pleine performance. »

Entre-temps, Phemex collabore avec les forces de l'ordre, des entreprises de cybersécurité et d'autres plateformes crypto dans le cadre du processus de récupération. La plateforme a pu rétablir les fonctionnalités principales pour les utilisateurs en moins de 24 heures – possibly one of the fastest recoveries from a hack by any established crypto exchange. Par la suite, Phemex a mis en place un examen manuel strict des transactions de dépôt et de retrait afin de renforcer la sécurité et de garantir qu’aucune transaction malveillante n’était effectuée dans l’immédiat après-coup.

Leçons apprises, actions entreprises

Immédiatement après la violation, l'équipe technique de Phemex a conçu et mis en œuvre une nouvelle infrastructure de sécurité de portefeuille chaud, plus robuste.

« Une leçon majeure que nous avons apprise et sur laquelle nous avons réfléchi est que Phemex a connu une croissance très rapide lors du dernier marché haussier, et certaines de nos procédures opérationnelles ont pris du retard par rapport à notre croissance, » déclare Variola. « Cette cyberattaque a montré que le type de mesures de sécurité qui pouvaient être suffisantes pour notre taille précédente ne sont désormais plus acceptables pour notre échelle actuelle. »

La nouvelle structure de Phemex est conçue selon une architecture zéro confiance et utilise la technologie de pointe Enclave. Cela inclut AWS Nitro pour assurer une sécurité robuste au niveau matériel des portefeuilles chauds.

Bien que cela résolve le problème immédiat, cela ne permettrait pas à Phemex de devancer les hackers. Ainsi, l'équipe a pris des mesures pour protéger tous les portefeuilles que l’un de ses utilisateurs pourrait détenir.

« Nous prévoyons d’employer un système de portefeuille à niveaux avec des portefeuilles froids », déclare Variola. « Cela s’appliquerait également aux portefeuilles chauds – qui contiendront une proportion beaucoup plus faible de nos fonds à l’avenir. »

Le système par niveaux s'applique également à portefeuilles chauds, qui combinent la connexion internet, la rapidité et l'efficacité des portefeuilles chauds avec la sécurité renforcée et le contrôle manuel des portefeuilles froids.

Phemex augmente également les effectifs dédiés à la sécurité de l'infrastructure, avec différentes équipes supervisant des éléments distincts et un nombre réduit d'individus ayant accès à l'ensemble du système. De bout en bout, promet Variola, chaque tâche sera examinée par des tiers de premier plan dans l'industrie.

Cela pourrait ralentir le rythme de la prestation de services de Phemex d'un cran, mais l'équipe de Variola est convaincue que cela doit être fait.

« Les opérations de notre plateforme seront plus complexes avec le nouveau système, mais cela est inévitable car la sécurité est notre priorité absolue », déclare Variola. « Nous avons une confiance totale dans le nouveau système et nous sollicitons des certifications tierces pour ces normes de sécurité. »