L'industrie de la cryptomonnaie doit évoluer pour s'adapter aux risques de sécurité du monde réel

Vos clés, vos pièces.

C’est l’une des promesses fondamentales du bitcoin et des autres cryptomonnaies, qui suppriment les intermédiaires entre vous et votre argent. Mais cette expression porte également une hypothèse latente dont les entreprises Web3 feraient bien de se détacher : que tout problème de sécurité est de la responsabilité du détenteur, et non la leur. Cet état d’esprit pouvait fonctionner quand la crypto était expérimentale. Il ne fonctionne plus lorsque des milliers de milliards de dollars et des millions de personnes sont en jeu.

L’espace de conception pour la crypto s’est considérablement élargi depuis la création de Bitcoin il y a plus de 15 ans. Il existe des applications et des protocoles, des plateformes d’échange de cryptomonnaies, des stablecoins, ainsi que des dizaines de normes de tokens, tous interconnectés. Il ne s'agit plus seulement d’une monnaie décentralisée, mais d’un écosystème valant plusieurs milliards de dollars. Les risques de sécurité sont devenus plus complexes, et les enjeux, plus élevés. La garde autonome joue toujours un rôle, certes – mais les concepteurs de Web3 ne devraient pas faire peser la majorité du fardeau de la sécurité sur les utilisateurs.

Pour réussir en tant que technologie grand public, l'industrie crypto doit évoluer pour correspondre aux risques de sécurité réels — ingénierie sociale, erreur humaine et coercition physique — sans compromettre d'autres valeurs fondamentales telles que l'anonymat et la pseudonymie.

Ce que les chiffres nous indiquent

Plusieurs décennies d'informatique personnelle nous ont fourni une abondance de données sur l'hygiène cybernétique des individus. En bref : ce n'est pas parfait.

Les campagnes éducatives telles que Mois de la sensibilisation à la cybersécurité, qui se déroule en ce moment, aide, mais des menaces telles que le phishing, les faux codes QR et les logiciels malveillants restent constamment efficaces. Elles ne disparaîtront pas. En fait, elles évoluent plus rapidement que nos défenses.

Selon données compilées par CoinLaw, les attaques de phishing dans le secteur des cryptomonnaies sont en augmentation, avec une hausse de 40 % au début de 2025, entraînant des pertes pour les utilisateurs estimées à 410 millions de dollars. Encore une mauvaise nouvelle : les deepfakes alimentés par l’IA aggravent le problème ; leur nombre a augmenté de plus de 450 % entre le milieu de 2024 et le milieu de 2025, selon les données de CoinLaw.

Encore plus alarmant : la recrudescence des attaques violentes liées à la cryptomonnaie, alors que des groupes de criminalité organisée contraignent physiquement les détenteurs de fortunes élevées à céder leurs identifiants. Selon la société de suivi blockchain Chainalysis, il y a eu plus de 30 attaques au marteau signalées en 2024, et 2025 est en voie de doubler ce montant.

En bref, les problèmes de sécurité ne sont pas des anomalies. Ils sont prévisibles.

Nous ne haussons pas les épaules face aux tremblements de terre à San Francisco ou au Japon ; nous construisons des bâtiments résistants aux séismes. La même logique devrait s’appliquer à la sécurité des cryptomonnaies.

Ce qui doit changer

La bonne nouvelle : beaucoup de travail est accompli dans l’espace Web3 pour accroître la sécurité des utilisateurs et renforcer celle des produits.

Il suffit de regarder les portefeuilles. Les considérations de sécurité ont historiquement rendu l'expérience utilisateur des portefeuilles désagréable, mais les choses s'améliorent grâce à des innovations telles que les portefeuilles fractionnés avec différentes clés, la délégation et les comptes multi-portefeuilles. Cependant, d'après mon expérience, trouver un équilibre entre convivialité et sécurité reste un défi.

Alors, comment pouvons-nous mieux servir les utilisateurs ?

Tout d'abord, nous devons considérer les problèmes de sécurité comme des retours d'information. Chaque faille nous informe sur la conception, pas uniquement sur le comportement. Prenons un mot de passe volé. Une réponse possible serait : « C'est la faute de l'utilisateur qui s'est fait hameçonner ; il ne devrait pas tomber dans ce piège. » Cela peut être vrai, ou pas. Mais ce que est la vérité est que lorsque cela se produit des millions de fois par an auprès de votre base de clients, cela indique que votre système n’est pas conçu pour de véritables utilisateurs. Adaptez-vous en conséquence.

Deuxièmement, nous devons intégrer des exemples réussis issus du secteur non web3.

Considérez le problème de l’authentification. L’utilisation d’une clé cryptographique pour l’accès est puissante, mais ne confirme pas que l’utilisateur est le propriétaire légitime. C’est pourquoi l’internet en général a adopté depuis longtemps des couches comme l’authentification multifactorielle et les signaux comportementaux, et plus récemment la preuve d’humanité — des méthodes qui protègent automatiquement les personnes, sans dépendre d’une vigilance constante. La crypto peut et doit suivre cette voie.

Enfin, nous devons reconnaître que les risques de sécurité ne se limitent plus aux simples astuces d'ingénierie sociale.

Les dirigeants de la cryptomonnaie et les détenteurs fortunés ont été victimes d'une série d'agressions physiques, les voleurs cherchant à accéder non pas par décryptage par force brute, mais par la simple force brute. Si nous concevons des systèmes qui n’intègrent pas la possibilité d’abus physiques, nous ne faisons pas notre travail en tant que concepteurs de ces systèmes. Les vecteurs d’attaque évolueront, et nous devrons également évoluer.

Quelle est la prochaine étape

L’éthique rigoureuse de la crypto basée sur la responsabilité individuelle avait du sens lorsqu’il s’agissait d’une expérimentation. Cependant, maintenant que des trillions d’actifs — et des moyens de subsistance humains — sont en jeu, nous avons besoin de systèmes conçus pour les risques du monde réel plutôt que pour les premiers adopteurs.

Il n’existe pas de panacée : les clés cryptographiques resteront vulnérables au phishing, les données biométriques exposeront les détenteurs à des attaques physiques, et les humains continueront à être imparfaits. Mais alors que nous clôturons le Mois de la sensibilisation à la cybersécurité, rappelons-nous pour qui nous construisons. Lorsque nous concevons pour de vraies personnes, et non pour des utilisateurs idéaux, nos produits peuvent renforcer les vies tout en protégeant contre leurs faiblesses. La sécurité n’est plus un problème des utilisateurs ; c’est un problème de l’industrie.