Mensonges

J’ai perdu 250 millions de dollars en Bitcoin! Ou pas.

Le sensationnalisme des histoires de Bitcoin qui finissent mal n’a pas de limite. À chaque fois que le prix monte, on nous ressert les mêmes contes de fées. Démoniser Bitcoin profite à beaucoup de gens qui le craignent et/ou veulent s’enrichir avec.

Le New York Times publiait hier un article parlant de Stefan Thomas qui aurait “perdu la clef de ses bitcoins”, et possède donc des millions de dollars auxquels il n’a pas accès.

L’article raconte qu’il aurait reçu 7’002 de la part d’un autre enthousiaste en 2011, pour le remercier d’une vidéo explicative qu’il avait fait sur Bitcoin. Son portefeuille était sur un disque dur chiffré protégé par mot de passe, mais comme ces BTC ne “valaient rien” à l’époque, il n’y a pas prêté attention et a oublié le mot de passe du disque, rendant celui-ci impossible à ouvrir aujourd’hui.

Inexactitudes et exagérations

En réalité, cette histoire n’a rien à voir avec la technologie de Bitcoin. Il s’agit simplement de quelqu’un ayant perdu le mot de passe de son disque dur.

Voilà le problème quand on parle de Bitcoin ou de technologie en général sans vraiment le comprendre.

Quand le prix de Bitcoin monte, beaucoup de gens se précipitent pour clamer leur expertise, soit pour s’approprier plus de Bitcoin, soit pour promouvoir leur propre projet, à travers l’escroquerie par association par exemple.

Cette histoire parle de la technologie du disque dur utilisé, et surtout du laxisme de Thomas à gérer ses mots de passe. S’il y avait mis des photos de mariage au format JPEG ou un document Word de son premier roman, ceux-ci seraient également inaccessibles.

Rien à voir avec Bitcoin.

Quand vous oubliez vos clefs dans votre voiture, vous blâmez les industries automobile et de l’acier?

L’histoire prétend que Thomas n’a pas fait attention à ces bitcoins parce qu’ils n’avaient presque aucune valeur à l’époque, et n’as donc pas fait d’effort pour se rappeler le mot de passe du disque dur.

C’est malheureusement faux, pour deux raisons.

Tout d’abord, comme c’est expliqué dans l’article, il a reçu ces bitcoins comme remerciements de la part d’un autre bitcoiner pour avoir créé une vidéo explicative intitulée “qu’est-ce que Bitcoin?” Même s’il ne s’attendait pas à ce que le cours atteigne les prix records qu’on a atteint ces jours, il en connaissait suffisamment bien la technologie pour en connaître la valeur et le potentiel à long terme.

Et aussi et surtout, en 2011, le prix du BTC atteignait déjà US$ 8, ce qui donnait à son portefeuille une valeur de US$ 50’000!

Mensonges et tours de passe-passe

Alors pourquoi raconter autant de faussetés? À qui une telle affabulation peut-elle profiter?

Penchons-nous un peu sur le protagoniste de l’article, le malheureux étourdi, enrichi puis ruiné par le méchant Bitcoin.

Comme je le mentionnais plus haut Stefan Thomas n’est pas simplement un passant qui se trouverait là par hasard, il était déjà impliqué dans Bitcoin en 2011, lorsqu’il en faisait des vidéos d’introduction. Comme plusieurs passionnés de cette époque, il a eu l’occasion d’accumuler des BTC à un moment où ceux-ci étaient encore très abordables. S’il décide un jour de vendre ou d’échanger ses bitcoins contre des dollars, le fisc États-Unien le taxera donc sur l’importante plus-value de ces jetons.

Il est alors probable qu’il préfère tenter de les faire disparaître sous le tapis momentanément. Ce n’est pas nouveau: le mot de passe “oublié” ou la perte de smartphone contenant les clefs privées lors d’un accident de bateau sont des blagues potaches qui reviennent à chaque montée du cours, au sein de la communauté Bitcoin.

Coincidences

Mais à mon avis, c’est encore ailleurs qu’il faut regarder. Thomas n’est pas qu’un amateur des débuts de Bitcoin. C’est aussi un des premiers employés de Ripple, la société derrière le jeton du même nom (XRP), et son CTO (Directeur Technique) de 2013 à 2018.

Ripple se présente comme une alternative à Bitcoin, un réseau se voulant plus rapide et puissant, mais mettant de côté l’indépendance et la décentralisation car dirigé et contrôlé par la société Ripple. Celle-ci possède d’ailleurs entre 50 et 60% de la totalité des jetons créés, dont elle en vend périodiquement une petite partie sur le marché. Ses fondateurs dirigeants se partagent 10 à 20% du reste selon les estimations.

Ripple est officiellement la 4e cryptomonnaie, avec une “capitalisation” de 30 milliards de dollars, mais dont seulement la moitié des jetons sont en circulation sur le marché, et ses fondateurs et dirigeants se partagent donc entre 3 et 6 milliards de dollars de la masse monétaire en circulation, reçus à la création du réseau.

Alors depuis décembre Ripple est poursuivie par la SEC (l’organisme fédéral américain de réglementation et de contrôle des marchés financier) qui accuse la société et deux de ces dirigeants d’avoir levé plus de 1,3 milliard de dollars dès 2013 par le biais d’une “offre non enregistrée d’actifs numériques ”.

Et Stefan Thomas, le pauvre étourdi qui a oublié le mot de passe de son disque dur est donc l’ancien Directeur Technique d’une start-up multimilliardaire ambitionnant de révolutionner les cryptomonnaies, accusant la technologie concurrente et leader —Bitcoin— d’être trop bien construite et trop décentralisée, tout en protégeant ses propres finances au cas où ça commencerait à sentir le roussi du côté de la justice ou des impôts.

Moralité(s)

Protégez vos données de valeurs derrière un bon mot de passe, et ne l’oubliez pas.

La morale de cette morale: ce n’est pas parce que le New York Times le dit que c’est forcément vrai. Comme on dit dans la communauté Bitcoin “Ne faites pas confiance; vérifiez!”

(Et aussi, faites attention aux projets dont la société elle-même et ses fondateurs gardent plus de la moitié des jetons et du contrôle?)

“J’aime Bitcoin, alors achetez mon shitcoin”

On ne peut pas parler de filouteries dans le monde des cryptomonnaies (c’est justement le titre de cette colonne) sans évoquer les ICOs et autres tours de passe-passe du même genre. On pensait en avoir fait le tour, pouvoir archiver tout ça maintenant que “l’industrie s’est professionnalisée”. Malheureusement on constate régulièrement que sans une bonne compréhension des ficelles de ces levées de fonds, on s’expose tôt ou tard à une nouvelle vague de brigandages potentiels très similaires.

Somme nulle

Beaucoup d’argent a changé de main pendant la frénésie qui explosa en 2017, et certaines startups à l’origine de ces campagnes ont fait parler d’elles en empochant des petites fortunes. Célébrées comme des succès, il faut bien comprendre que ces entrées d’argent provenaient de gens qui en parallèle ont collectivement perdu la même somme totale.

Pour rappel, une ICO (“initial coin offering”) c’est un système qui permet d’acheter un cryptoactif, monnaie ou jeton par exemple, à son émission, directement auprès de l’entité qui le met sur le marché. Investissement hautement spéculatif, ce cryptoactif est en général une représentation des ambitions optimistes (réelles ou mises en scène) de la start-up qui le lance sur le marché. Sa valeur est perçue par les investisseurs comme étant amené à augmenter lorsque le projet aura abouti.

Confusion orchestrée

L’ICO est un clin d’œil acronymique à la traditionnelle IPO d’une entreprise entrant en bourse. Son mécanisme est emprunté et dérivé quant à lui des financements participatifs (“crowdfunding”). Présentée comme un projet hybride reprenant le meilleur des deux mondes, avec une touche de capital risque, l’ICO n’est en réalité ni l’un ni l’autre, ce qui rajoute (volontairement?) à la confusion.

Contrairement à l’IPO traditionnelle, l’entité émettrice du jeton n’a en général à ce stade aucun actif, aucune histoire ni business. C’est encore une simple idée. Son jeton, lui, existera bien mais ne sera échangeable qu’une fois qu’il sera listé sur les plateformes d’échanges, ce qui peut prendre des mois, encore plus si l’on vise des plateformes à forte notoriété, voire ne jamais arriver.

Il ne s’agit pas non plus de crowdfunding (financement participatif), car l’investisseur achète un jeton et non le projet fini. La confusion est qu’il y a bien une transaction “valide” puisque le jeton est vendu, quel que soit le degré de succès du projet présenté. Contrairement à une levée de fonds par crowdfunding où le but est de créer un produit ou un projet spécifique en pré-vendant celui-ci, et où les participants ne sont pas des investisseurs mais des clients-acheteurs.

(N.B.: Il n’est pas rare que des initiateurs de projets en crowdfunding fassent faillite et/ou partent avec la caisse sans livrer le projet. Les escrocs existent partout, mais je veux souligner la différence de type de promesses entre ces deux mécanismes.)

Une ICO n’est pas non plus comme une levée de fonds type “capital risque” dans laquelle l’argent sert à financer une entreprise en offrant des parts de celle-ci en contrepartie au soutien et au risque pris. Car les ICO ne vendent pas de parts de leur entreprise (actions ou autres), mais des jetons à l’utilité et la valeur encore floue (le projet n’existe que comme ambition théorique à ce stade), et les actions de la société restent aux mains des fondateurs.

Nouveau système souvent présenté comme réunissant le meilleur de plusieurs systèmes de levées de fonds, les ICO ne sont en réalité qu’un écran de fumée en cachant un florilège du pire.

Marketing à outrance

Pour attirer et convaincre les investisseurs, on leur vend du rêve et de l’espoir, et on utilise les mêmes vieilles recettes que les fameux “penny stocks”: l’investisseur ferait partie d’une minorité de chanceux initiés qui peuvent entrer dans l’affaire très tôt. Et paradoxalement, un certain nombre de gens ont déjà investis avant lui, ce qui a pour effet de rassurer (personne n’ose risquer en premier) et de crédibiliser l’investissement. Un gros montant valide le sérieux du projet, donc de son jeton, et donne l’impression au nouveau venu de rejoindre un groupe limité d’experts, dont il fera lui-aussi bientôt partie. Plus le total investi augmente, plus on joue sur l’effet “FOMO”, de l’Anglais “fear of missing out”, la peur de rater le train, ce qui renforce le cercle vicieux. L’argument ultime c’est d’investir le plus tôt possible, pour ne pas arriver “trop tard” et passer à côté de l’explosion de valeur.

Autre argument de vente: un prix unitaire du jeton relativement bas donne lui-aussi l’illusion d’une plus grande augmentation potentielle par comparaison au prix du Bitcoin, auquel on se réfère souvent comme modèle à égaler voire dépasser. Mais le nombre total des jetons créés est en fait très élevé, bien plus que le nombre total de bitcoins qui seront jamais mis en circulation. Ça reviendrait à dire que le plomb est un meilleur investissement que l’or parce qu’un lingot de plomb de 10 grammes est bien plus abordable qu’un kg d’or (avec le sous-entendu qu’à moyen terme le prix de 10 grammes de plomb devrait atteindre celui du kilo d’or).

Cette grande quantité de jetons est aussi utile pour créer l’illusion d’un “market cap” (capitalisation boursière) fantaisiste et exagérément élevé. Je parlerai de ces faux market caps dans un prochain billet, mais il est facile de comprendre que n’importe quel chiffre, multiplié par un milliard (ou même cent milliards!), devient beaucoup plus attirant et semble plus “solide”.

Enfin, cette grande quantité de jetons est bien pratique aussi pour manipuler les cours, car une grande quantité (souvent la majorité) des jetons est gardée en possession de l’émetteur après l’ICO.

Les ICO sont des mécaniques asymétriques où l’on présente A en vantant B pour finalement vendre C, dont on garde la moitié pour soi.

Cibles

Deux catégories d’investisseurs sont approchés de manières très distinctes. Il s’agit des investisseurs de la pré-ICO, et ceux de l’ICO proprement dite.

En général, durant la pré-ICO, on essaiera d’appâter les gros poissons. On s’engage à leur vendre en gros une grande quantité de jetons à prix cassés (par exemple moitié-prix). Cette vente se fait en devises nationales (p.ex. CHF, USD). Ces acheteurs sont en général des entrepreneurs/investisseurs locaux, prêts à prendre des risques, planifiant de déverser sur les marchés une grande partie de leurs jetons dès que ceux-ci seront échangeables librement, pour empocher la plus-value. Le risque est limité dans le temps car ils profiteront de l’engouement de l’ICO pour récupérer leur mise et les bénéfices, grâce à une forte campagne marketing justement financée par une partie de leur investissement.

Puis viennent les acheteurs lambda durant l’ICO proprement dite. Ceux-ci sont moins sophistiqués, viennent des quatre coins de la planète et vont généralement payer en cryptomonnaies, BTC ou ETH, et acheter individuellement des quantités moindre. Contrairement à la pré-ICO, leurs jetons sont vendus au prix plein. Souvent, il y a moins de vérifications anti-blanchiment de type KYC/AML (voire aucune) car les transactions sont de crypto-à-crypto sans passer par une monnaie nationale, les acheteurs sont à l’étranger etc.

Premièrement: L’illusion de performance

Ces investisseurs sont souvent attirés par une histoire bien ficelée qui commence par Bitcoin, comme on l’a dit. L’émetteur du jeton et son entreprise sont en général grands amateurs et partisans de Bitcoin, mais veulent “améliorer” celui-ci. Ils expliquent donc que leur projet va être “le Bitcoin-killer”, et que son succès va égaler, puis dépasser celui de Bitcoin. Le prix du jeton étant donc amené à présenter une courbe similaire.

Si vous aviez raté la montée vertigineuse de Bitcoin ces dernières années, voici une occasion de monter à bord de son remplaçant. Cet argumentaire est connu parmi les initiés comme une blague: “J’aime Bitcoin, alors achetez mon shitcoin”.

Deuxièmement: L’illusion d’excellence

Pour convaincre les investisseurs potentiels de la véracité de ce “prochain Bitcoin”, les initiateurs d’ICO utilisent à outrance un vocabulaire faussement technologique comme argument d’autorité. C’est un truc classique qu’on retrouve dans une multitude d’arnaques et de manipulations en tout genre. Mots savants, concepts compliqués, les investisseurs potentiels sont à la fois éblouis et humiliés par leur ignorance et leur incompréhension du sujet. Ils saisissent alors l’occasion qu’on leur propose de se hisser au niveau de gens plus brillants, et plus riches.

Troisièmement: L’illusion de notoriété

À ce stade, certains investisseurs de la pré-ICO sont présentés comme des garants de la valeur de l’investissement. Ce qui nous amène à la troisième ficelle: la validation par les médias et/ou célébrités de l’industrie qui parlent du projet et/ou sont nommés comme “parrains”.

“On parle de nous dans Forbes” est le nouveau “Vu à la télé!” même si souvent l’article de Forbes en question est un publi-reportage écrit et payé par le sujet de l’article en question…

“Untel est notre conseiller” donne aussi l’impression que cette personnalité valide le projet, alors que c’est souvent quelqu’un qui se fait payer en jetons pour prêter son image. Quand ce n’est pas purement et simplement un mensonge et la personne en question n’a jamais entendu parler du projet.

Quatrièmement: L’illusion d’association

Similairement, on observe aussi la publicité par la proximité. Les initiateurs participent à des conférences auxquelles sont invitées des personnalités légitimes de l’industrie. Souvent, ces conférences ont un modèle hybride prêtant (volontairement?) à confusion, ou certains orateurs sont invités et payés, alors que d’autres, inconnus et peu importants, paient pour participer. En présentant ces deux types d’orateurs comme “égaux”, ces événements contribuent à faussement valider le message de ces initiateurs d’ICO, qui s’en servent ensuite pour convaincre les investisseurs potentiels.

Encore une fois, ce n’est pas nouveau, juste le B-A-BA du marketing: payer pour placer sa pub le plus discrètement possible au même niveau que les stars.

Et parfois, le plus simple c’est encore d’organiser sa propre conférence et d’y inviter des orateurs légitimes qu’on introduira et aux côtés desquels on créera l’illusion de sa propre crédibilité.

Cinquièmement: L’illusion du réseau

Les pré-ICO et les ICO jouent souvent les équilibristes aux limites de la vente pyramidale (MLM, ou “multi-level marketing”) ou même du pump-and-dump.

Le MLM en soit n’est pas illégal. Il s’agit de vendre des produits sans enseigne, à travers ses clients qui deviennent eux-mêmes vendeurs. Les fameuses soirées Tupperware.

La où ça devient illégal, c’est lorsque les agents du réseau gagnent plus d’argent en recrutant d’autres distributeurs qu’en vendant les produits eux-mêmes. Si on vous propose de gagner un pourcentage de vos ventes et des ventes de gens que vous avez recruté c’est du MLM, en revanche si vous passez votre temps à recruter des gens qui vont eux même recruter et les produits ne sont vendus que dans le cadre du recrutement, c’est une escroquerie pyramidale. Bien entendu, la ligne entre les deux est fine et difficile à prouver effectivement.

Le “pump-and-dump”, c’est ce que décortiquait le film “Le loup de Wall Street”, dans lequel Leonardo DiCaprio fait grimper le prix d’actions sans valeur en dupant un grand nombre de petits investisseurs à qui il promet une forte montée du cours, puis vend ses propres actions en masse pour profiter de la hausse avant eux.

Le but de ces explications n’est pas de trancher sur leur l’égalité. Je ne suis pas juriste, et il est encore trop tôt pour étudier des cas concrets de procès en action collectives. Jusqu’à preuve du contraire, une ICO typique n’est pas réellement du MLM ni du pump-and-dump. Certaines pré-ICO s’en rapprocheraient déjà un peu plus, mais la ligne est très floue et, encore une fois, je ne suis pas juriste.

En revanche, la morale de l’histoire c’est de réaliser que toutes ces ficelles ne sont pas uniquement propres aux ICO, mais au contraire des classiques revisités au goût crypto du jour.

Les connaître et les reconnaître, c’est s’en protéger et protéger celles et ceux qui nous sont chers.

Chute libre

2017 fut la grande époque des ICO, facilitées grâce à la montée du cours de Bitcoin dont tous les médias parlent, mais aussi et surtout grâce au flou juridique international qui les laissait fleurir. Depuis, les règles des levées de fonds “normales” ont été étendues et appliquées aux ICO, d’où leur quasi disparition.

Un minimum de cadre légal et la source se tarit soudain. Lisons entre les lignes…

Début 2018 fut l’année de la déconfiture lorsque tous les possesseurs de jetons vendent en masse et plombent le marché. Au mieux pour réaliser leur bénéfice, au pire en panique une fois que ça dégringole.

D’abord, les investisseurs de pré-ICO et les émetteurs de jetons ayant été payés en cryptomonnaies et profitant de la période juste après l’ICO pour délester un peu leur propres réserves.

Les lanceurs d’ICO ont reçu au passage beaucoup de BTC et ETH en paiement pour leurs jetons. Beaucoup se dirigent vers la sortie et plombent les cours de ces deux cryptomonnaies phares.

Avec Bitcoin qui chute, c’est tout l’écosystème qui s’écrase, les petits “investisseurs” d’ICO, un temps convaincus par le FOMO, vendent maintenant à perte leurs jetons en panique. Quasiment tous perdent une grande partie de leur valeur, jusqu’à 99% pour certains chouchous des marchés.

Promesses, promesses

De leurs côtés, les émetteurs d’ICO ont la conscience tranquille. Ils pensent avoir rempli leur part du contrat, qui était la vente de jetons. La transaction a bien eu lieu honnêtement.

Avec leurs BTC et ETH empochés et souvent convertis en cash, et surtout les entrées en monnaies nationales des pré-ICO, ils mettent la charrue avant les bœufs et se paient des salaires de cadres, des vols en business, des bureaux prestigieux, et se lancent dans des investissement démesurés pour les start-ups qu’elles sont encore, sans business, ni modèle, ni clients.

Suivant aveuglément le sophisme qui leur fait penser que leur fortune vient de la vente d’un produit (et qu’ils n’ont donc pas vraiment de comptes à rendre aux investisseurs), ils s’inspirent à tort d’entreprises de même gabarit financier qui ont fait fortune grâce au succès de leur produit ou service, ou alors de celles dont les finances dépendent encore de capital-risqueurs à qui elles rendent des comptes en permanence.

En clair, on nage en plein délire: ils avaient promis d’être le prochain Facebook ou Uber grâce à un jeton et une blockchain, la vente de leur jeton leur à fait empocher des millions, alors maintenant ils se comportent comme s’ils avaient réellement un business qui génère des millions comme Facebook ou Uber.

D’un point de vue légal, ça ressemble bien à une martingale: la vente des jetons a bien eu lieu dans les règles, et les fonds récoltés sont à leur disposition pour faire ce que bon leur semble, dans l’intérêt de leurs actionnaires (y compris ne pas construire un business, si ça leur chante).

Le revers du bâton

Alors certains projets et leurs fondateurs sont menacés et parfois attaqués en procès par des investisseurs qui s’estiment trompés. Le fardeau de la preuve sera de démontrer que les entreprises et leurs dirigeants prévoyaient de “partir avec la caisse”. Parfois c’est très clair et les lanceurs d’ICO ont mis la clef sous la porte en faisant un bras d’honneur à leur communauté à peine l’argent encaissé. Souvent, c’est moins clair et les conflits prendront plus de temps à démêler le vrai du faux.

Les émetteurs de jetons se justifient souvent en argumentant qu’une ICO est un investissement à risque. Que les investisseurs devaient savoir ce qu’ils faisaient, comme pour tout achat en bourse par exemple.

Les détails de chaque ICO restent uniques et propre à un projet précis. Mais ce qui est sûr, c’est que les mécanismes mis en cause sont –comme toujours (!)– classiques et on les retrouve un peu partout, même sans ICO.

On peut par exemple se pencher sur le cas de l’entreprise Theranos, qui prétendait avoir développé une technologie révolutionnaire de tests sanguins. Grâce à des effets d’annonces et nombreux éloges des médias elle lève rapidement 700 millions de dollars d’investissement.

En 2015 elle est valorisée à plus de 9 milliards de dollars, et un an plus tard, le voile est levé sur la supercherie et l’entreprise ferme et licencie ses salariés.

La réalité ne correspondait pas à la “technologie” imaginaire qui avait été présenté aux investisseurs. En 2018, ses fondateurs sont arrêtés pour fraude et la société dissoute. Ils passeront cet été devant la justice et risquent jusqu’à 20 ans de prison.

On peut espérer, mais personne ne sait si on verra un jour une vague de projets ICO se faisant poursuivre en masse devant les tribunaux, et personne ne sait non plus quel sera la prochaine vague de brigandages à base d’acronyme à la mode, mais ce n’est pas le sujet de ce billet. Car l’important aujourd’hui c’est de mieux comprendre ces jeux de miroirs, grâce à l’expérience tragique de ceux qui ont beaucoup misé et beaucoup perdu, et ne pas faire pareil à l’avenir.

Pense-bête

Alors en reprenant les exemples abordés ci-dessus, voici donc dix questions à se poser lors de la prochaine mode de duperies, quelle que soit leur appellation du moment. Cette liste n’est pas exhaustive, mais elle devrait permettre de démêler un peu les grosses ficelles, et se protéger des charlatans.

1) Est-ce que c’est (presque) trop beau pour être vrai?

2) Est-ce que les projections de profits ne reposent sur rien de tangible, mais plutôt sur des parallèles avec d’autres projets, par exemple Bitcoin?

3) En général, est-ce que le seul argument stable est Bitcoin?

4) Est-ce que je ne comprends rien aux explications, au vocabulaire, ou aux concepts techno utilisés?

5) Est-ce que je serais bien incapable de l’expliquer avec mes mots?

6) Est-ce que j’ai tendance à faire plus confiance à ce projet depuis que j’y ai vu plusieurs logos et/ou noms prestigieux?

7) Est-ce que je ne comprends pas vraiment de quoi il s’agit mais je suppose que c’est bien parce que “tout le monde en parle”?

8) Est-ce que je fais mes courses uniquement en fonctions des célébrités qui font la promotion de produits de marques que je n’achèterais pas autrement?

9) Est-ce que je ne compterais investir dans le projet que parce que d’autres viendront après moi et me permettront de faire une plus-value à leur dépens?

10) Est-ce que le vendeur et/ou les médias me répètent qu’il faut me dépêcher de sauter sur l’occasion avant qu’il ne soit trop tard (même si je n’y comprends toujours rien)?

Si vous avez répondu “oui” à au moins une de ces questions, il est temps de remettre votre portefeuille dans votre poche, respirer profondément, et prendre le temps de regarder les choses en face: vous étiez en train de vous lancer à pieds joints dans un projet nébuleux que vous devriez éviter.

L’attaque à la clef anglaise

Deuxième volet d’une introduction à des principes fondamentaux. Dans mon billet précédent, je mettais l’emphase sur le poids de l’erreur humaine. La sécurisation technologique court-circuitée par la faiblesse de l’individu.

Et l’individu en question c’est très souvent nous-mêmes. Il est donc important de savoir de quoi il en retourne et de prendre (et garder) les bonnes habitudes dès le début.

Vulnérable là où ça fait mal

Penchons-nous sur un exemple qui illustre parfaitement la base des risques auxquels on est confronté.

Il s’agit de la désormais fameuse “$5 wrench attack”, l’attaque à la clef anglaise bon marché, illustrée par une bande dessinée du site xkcd qui en a immortalisé la simplicité.

Une des fausses idées reçues sur la sécurité informatique, c’est que plus une technologie est complexe, plus elle nous protégera infailliblement. En réalité, l’humain (faut-il encore le répéter?) est souvent son propre maillon faible de vulnérabilité. Quel que soit le degré de sécurité technologique derrière lequel il croit s’abriter.

Dans cette bande dessinée, un utilisateur se réjouit d’être bien en sécurité derrière un mot de passe très compliqué donc très sûr, qui nécessiterait des moyens immenses pour quiconque voudrait le forcer. En parallèle, on voit les voleurs envisager un moyen beaucoup plus radical de franchir ce mot de passe: frapper l’utilisateur avec une clef anglaise valant 5 dollars, jusqu’à ce que celui-ci leur révèle son mot de passe.

Source: xkcd.com

Derrière l’humour, on comprend aisément que les moyens mis en œuvre pour un tel plan sont en réalité proportionnels à la faiblesse de l’utilisateur détenant le mot de passe, plutôt qu’à la force du mot de passe lui-même.

Retour en arrière

Nous savons que nous ne sommes pas à l’abri d’un vol dans une ruelle sombre ou par un pickpocket dans une foule. C’est pourquoi nous avons appris à ne pas transporter sur nous des fortunes.

Le pickpocket n’a pas accès à nos économies, que nous gardons bien en sécurité derrière un mot de passe, sur notre compte en banque.

Ce tiers de confiance nous protège des voleurs directement et indirectement, ce qui réduit considérablement le risque de se faire attaquer. C’est parce que nos économies ne sont pas directement à notre portée, mais placés sous la protection de la banque et que nous n’y avons nous-mêmes accès qu’avec la permission de celle-ci.

Sécurité additionnelle contre une attaque frontale à la clef anglaise, il n’est pas non plus inhabituel qu’un service de e-banking nécessite des vérifications additionnelles pour tout nouveau destinataire non-identifié précédemment, ou pour un montant au dessus d’une certaine limite par exemple.

En réalité, ce n’est pas le mot de passe qui protège nos économies. C’est le manque de contrôle que nous avons sur elles. Les banques nous protègent de nous-mêmes.

Chat et souris

Les anciens modèles ont changé, et dans cette évolution même le mot de passe qui avait remplacé la clef physique commence lui aussi à devenir obsolète.

De nouvelles techniques et technologies sont à leur tour développées, et le cycle continue. Par exemple, pour beaucoup de sites web sensibles, le seul mot de passe ne suffit plus, et l’utilisateur doit désormais utiliser un logiciel externe qui génère une clef supplémentaire, limitée dans le temps, qui permet de l’identifier. Ou alors le site envoie cette clef par SMS sur le téléphone de l’utilisateur.

Ces manipulations supplémentaires compliquent nos habitudes, et paradoxalement, plus de complications a souvent pour effet de rajouter de nouvelles failles potentielles…

Aux États-Unis, de nombreux cas de vols ont eu lieu à cause de portages de numéro par des opérateurs téléphoniques peu consciencieux. Le voleur appelle l’opérateur en se faisant passer pour sa victime, prétend avoir perdu ou s’être fait volé son appareil téléphonique, et demande que le numéro soit transféré vers une nouvelle carte SIM en sa possession. L’opération est très rapide et permet ensuite au voleur de se faire passer pour sa victime, et vérifie via SMS l’accès aux comptes, mais aussi la réinitialisation des mots de passe de son choix.

La vulnérabilité est ici l’employé (mal formé à la sécurité) voulant bien faire et croyant rendre service à un client, et sa direction qui n’a pas mis les bonnes procédures en place, pour des questions pratiques et de confort. La vérification par SMS n’est pas une sécurité supplémentaire pour l’utilisateur, mais plutôt déléguer sa sécurité existante à un tiers qui ne sait pas la protéger.

Tout se complique. Les failles se multiplient. Et pourtant on n’a toujours pas résolu le problème de la clef anglaise à 5 dollars.

Notre propre banque?

Depuis Bitcoin, la situation se complique même davantage. On redécouvre des transactions directes, sans tiers ni intermédiaire, similaires au cash. Et on prend conscience que cette liberté à un prix: notre responsabilité.

Nous sommes désormais conscients de notre souveraineté et du poids qui y est attaché. Nous revoilà dans la ruelle sombre, alors que nous étions encore en train d’essayer d’apprendre à gérer les avancées rapides de la numérisation de notre ancien monde. Maintenant, il nous faut en plus apprendre à protéger nos propres fonds.

Nous devons apprendre à concevoir Bitcoin et les cryptomonnaies non pas comme l’extension d’un compte en banque, mais plutôt comme un portefeuille contenant du cash. Et adapter nos comportements en conséquence.

Bien sûr, tout n’est pas cataclysmique, et des technologies très efficaces sont déjà développées ou en cours de l’être. Par exemple les fonctionnalités de multi-signatures qui empêche un utilisateur de faire un transfert seul, et oblige celui-ci à obtenir la confirmation d’un ou plusieurs acteurs alliés dont le nombre est prédéfini. Les possibilités sont diverses, et plusieurs prestataires offrent déjà ce genre de services.

Charité bien ordonnée

L’écosystème de technologies et de services va continuer à évoluer, grandir et se perfectionner. Mais la problématique fondamentale de l’attaque à la clef anglaise ne disparaîtra pas pour autant.

Il n’y a pas de miracle. Pas de panacée non plus. Nous devons réapprendre à être sur nos gardes vis-à-vis de nous-mêmes et de l’inconnu. Entraîner les bons réflexes, et nous poser les bonnes questions.

Par exemple: “Est-ce que je sais vraiment si cette app gratuite rigolote n’est pas un logiciel espion (spyware) servant à me dépouiller?”

Une fois que je l’ai installé sur mon smartphone, elle a accès au presse-papiers. “Est-ce alors vraiment une bonne idée de copier-coller mes clefs privées et mes mots de passe, si n’importe quelle app peut les intercepter?”

Elle m’a demandé accès à mes photos et mes contacts. “Est-ce prudent de prendre des photos de mes clefs privées et mes mots de passe, ou de les sauvegarder en clair dans mon carnet d’adresse?”

Plus généralement: “Devrais-je éviter d’installer des apps gadgets potentiellement dangereuses sur le même appareil que j’utilise pour mes informations sensibles?”

Vieux pots, meilleure soupe

Peut-être n’est-ce pas une mauvaise idée de revenir à des méthodes analogiques qui ont fait leur preuves, pour protéger et cloisonner nos données numériques. Préférer le papier pour des notes secrètes par exemple.

C’est ce que font les services secrets et le ministère de la Défense russes depuis quelques années, suite aux révélations d’Edward Snowden et scandales de WikiLeaks, en recommençant à utiliser des machines à écrire pour leurs documents secrets.

À titre individuel aussi, il vaut parfois mieux faire preuve de bon sens, et se reposer sur des anciennes recettes éprouvées. Ne pas se précipiter dans le “tout numérique” alors que l’on n’en maîtrise qu’une petite partie. Prendre un peu de recul afin d’appréhender sereinement et sainement, non seulement ces nouveaux mondes, mais également les anciennes réalités comme justement celle de la clef anglaise.

Cryptomonnaies: Pas de panique…

L’arrivée de nouvelles technologies apporte avec elles leurs lots de nouveaux dangers. Tout va trop vite, on s’y perd, on angoisse… La hi-tech fait souvent peur quand on ne la maîtrise pas. Certains profitent de la confusion.

En février 2016, des hackers ont braqué numériquement la Federal Reserve Bank de New York à travers le réseau interbancaire SWIFT. Ils y ont passé des instructions de transferts pour un total de près d’un milliard (!) de dollars US provenant du compte de la Banque Centrale du Bangladesh.

Par chance, une simple faute d’orthographe dans le nom d’un destinataire des fonds détournés permit à une des banques intermédiaires de repérer l’anomalie et d’interrompre l’attaque. En final, seuls 5 des 35 ordres furent exécutés et une partie des fonds a même pu être récupérée, mais les braqueurs ont finalement disparu avec US$ 63 millions.

Faiblesse humaine

Était-ce un problème dû à la technologie du dollar US ou du réseau informatique SWIFT utilisé par les plus grandes banques de la planète depuis les années 1970?

En réalité, c’était une erreur humaine. La Federal of New York n’avait pas de système de détection en direct des abus, et se reposait sur des vérifications ponctuelles opérées aléatoirement, après que les paiements aient eu lieu. Une mauvaise compréhension des risques et de la gestion du système.

Même sans être experts en cyber-sécurité bancaire, les lectrices et lecteurs de ce billet seront sans doute étonnés par un tel manque de préparation. C’est d’autant plus incompréhensible que cette incompétence vient d’un acteur majeur dont on attendrait une rigueur et une expertise irréprochable.

“L’erreur est humaine.” Mais à ce stade, c’est presque équivalent à un mot de passe écrit sur un Post-it collé à la vue de tous sur l’écran de l’ordinateur. Cette technologie n’est ni trop compliquée à comprendre ni trop difficile à implémenter. L’informatique n’est même pas en cause, car la faille de vulnérabilité, le maillon faible, c’est le manque de rigueur des humains en charge du système.

Les exemples de cas similaires ne manquent pas, et une règle basique qui s’applique un peu partout en informatiques, et à laquelle les cryptomonnaies n’échappent donc pas, c’est que ce ne sont que rarement des problèmes dus à la technologie.

Malheureusement, l’humain qui doit gérer ces technologies au quotidien c’est souvent vous et moi, à la fois attirés par leur merveilleuse utilité, mais effrayés par notre manque de connaissances qui pourrait nous rend vulnérable.

Et justement, parmi ces nouveaux mondes obscures dont les scandales et les excès nous captivent et font les gros titres, on retrouve régulièrement Bitcoin, la Blockchain, et les cryptomonnaies.

Bienvenue chez vous

Voici donc une nouvelle colonne pour traiter de la face sombre de l’univers des cryptoactifs en tout genre et de l’ambiance “Far West” dans laquelle évoluent toutes sortes d’individus qui ne vous veulent pas que du bien.

Dans cette rubrique, j’illustrerai avec des exemples concrets un panorama des différentes malhonnêtetés auxquelles on peut être confronté dans le petit monde des cryptomonnaies et de leurs blockchains, pour mieux démonter ces risques avec un peu de bon sens. Des arnaques monumentales aux petits mensonges, des ICO abracadabrantes aux montages financiers pseudo-miraculeux, en passant par les maladroites imprudences désastreuses et les risques inconsidérés, c’est un univers où on trouve un peu de tout et où il vaut donc mieux rester sur ses gardes.

Ou plutôt, pour commencer, réapprendre à être sur ses gardes.

Sécurité low-tech

Mais pas la peine de s’affoler, même avec les technologies les plus pointues, les bonnes vieilles habitudes permettent de se protéger efficacement dans la plupart des cas. Ces habitudes que notre mode de vie très (trop?) confortable nous a fait négliger, puis oublier.

En réalité, un peu de bon sens et de maturité suffisent à se protéger d’une grande partie de ces embûches qui ne sont pas technologiques, et finalement pas si nouvelles que ça. Une simple hygiène de vie quotidienne que je vous propose d’aborder ensemble ici. Tout en apprenant à mieux comprendre et appréhender la révolution de Bitcoin et des cryptomonnaies.

Adopter les bons comportements pour éviter les mauvaises surprises, à l’échelle humaine, la plus facile à gérer pour des non-experts.

Des gestes simples

Se déconnecter de son compte e-mail lorsqu’on quitte un ordinateur partagé dans un café Internet, ne pas envoyer tout son argent à un “prince en exil”, ne pas cliquer sur un lien ou un fichier attaché suspect dans un email, ne pas donner son mot de passe à un inconnu, vérifier l’adresse et le petit cadenas vert quand on se connecte à son e-banking… Nos habitudes ont rapidement évolué ces dernières années car nous avons été forcés de nous adapter à de nouvelles réalités. Nos nouveaux réflexes paraîtraient extra-terrestres à nos grands-parents.

Mais la contrepartie, c’est qu’il n’a jamais été aussi facile d’obtenir de l’aide en cas de boulette. À tout numériser, nous nous sommes graduellement retrouvés à la merci d’un “gardien” symbolique qui prend soin de nous et gère nos problèmes et nos difficultés à notre place. Alors on se repose facilement sur ce confort et on oublie d’être prudent.

L’utilisateur aux commandes

Le réveil est parfois brutal. On a tous entendu une histoire tragique à propos d’une remarque scandaleuse ou d’une photo compromettante sur les réseaux sociaux par exemple.

Et justement, un des nouveaux paradigmes apportés par Bitcoin, c’est un retour à la souveraineté individuelle. On le sait, avec Bitcoin, plus besoin d’intermédiaire pour faire une transaction de pair à pair. C’est révolutionnaire, mais ça veut aussi dire qu’une transaction est irréversible (N.B. il y a des exceptions, mais ce n’est pas le sujet ici). Comme avec du cash, pas moyen de faire opposition auprès d’un organisme de gestion en cas d’abus ou d’erreur, par exemple. C’est pourquoi un des “adages” régulièrement rappelé par les adeptes de Bitcoin est: “Don’t trust. Verify.”

Ne faites pas confiance. Vérifiez.

Cela fait référence au mécanisme de la Blockchain, le grand livre de comptes regroupant toutes les transactions depuis l’origine de Bitcoin, distribuée et répliquée à l’identique chez n’importe quel utilisateur qui peut à tout moment vérifier l’intégrité de ses fonds. Mais par extension, ça s’applique à un mode de pensée qui va évidemment plus loin que la seule Blockchain, et qui remet en question notre habitude de déléguer la confiance et la responsabilité à un tiers.

Ne pas faire confiance aveuglément, c’est déjà une règle que la plupart d’entre nous appliquons généralement dans la vraie vie. Pourtant, une fois en ligne, beaucoup oublient leurs bonnes habitudes et se laissent berner par des promesses plus que fantaisistes.

Il nous faut nous souvenir d’appliquer à notre monde numérique les mêmes logiques que nous suivons dans le monde physique, que ce qui est logique et sensé pour nos finances “réelles” l’est également pour nos investissements et transactions numériques, qui sont finalement tout autant réelles. Et cette logique s’applique également à tous les autres aspects de notre vie en dehors de la finance.

Un peu de bon sens

Si les responsables de la sécurité de la Fed de New York avaient eu ce réflexe, ils auraient dans doute installé un système d’alarme vérifiant constamment et en temps réel les mouvements, comme c’est le cas dans toutes les banques physiques, et comme on le fait pour protéger nos maisons ou surveiller bébé quand il dort…

Vous l’aurez compris, s’il fallait ne retenir qu’un principe de base, ce serait d’appliquer sur Internet les mêmes règles et la même rigueur qu’on s’impose dans le monde physique. Si ça n’a pas de sens dans la vraie vie, alors on se doute qu’il y a peu de chances que ça fonctionnera en ligne. C’est un principe qui reviendra régulièrement dans cette colonne.

En attendant le prochain billet, je vous encourage vivement à poster ci-dessous vos commentaires, questions, requêtes pour des sujets à aborder etc. et entamer une conversation utile à toutes et tous.