AccueilBlockchainRéglementationLa réglementation de Hong Kong sur l’hameçonnage lié aux cryptomonnaies interdit les...

La réglementation de Hong Kong sur l’hameçonnage lié aux cryptomonnaies interdit les OTP après 306 millions de dollars de pertes

Les investisseurs en crypto à Hong Kong sont sur le point de voir leur manière de se connecter aux plateformes de trading changer radicalement. La Securities and Futures Commission de Hong Kong a publié de nouvelles exigences étendues en matière de réglementation anti-phishing pour les cryptomonnaies à Hong Kong, ordonnant à toutes les plateformes de négociation d’actifs virtuels et à tous les courtiers en ligne de la ville d’éliminer les mots de passe à usage unique et de les remplacer par des méthodes de connexion plus robustes et résistantes au phishing — le tout dans un délai de 12 mois.

Points clés à retenir

  • La SFC a interdit les connexions basées sur les OTP via SMS, e-mail et méthodes basées sur des applications pour les plateformes crypto et les courtiers en ligne, avec un délai de mise en œuvre de 12 mois.
  • Les alternatives approuvées incluent les passkeys, les appareils enregistrés avec vérification cryptographique et les clés de sécurité matérielles.
  • Les attaques de phishing et les escroqueries par ingénierie sociale ont causé 306 millions de dollars de pertes dans l’industrie crypto au seul premier trimestre 2026, sur un total de pertes de 482 millions de dollars.
  • Les attaques de contrefaçon et de fraude représentaient 57 % de tous les incidents de cybersécurité signalés au Cyber Security Accident Coordination Center de Hong Kong en 2025.
  • La SFC tiendra la haute direction des sociétés agréées directement responsable des pertes subies par les clients résultant de contrôles internes inadéquats.

Hong Kong impose des connexions résistantes au phishing pour les plateformes crypto

Cette action réglementaire marque un virage net par rapport à la forme d’authentification de compte la plus couramment utilisée dans les services financiers. Les mots de passe à usage unique — les codes à six chiffres envoyés par SMS, e-mail ou application d’authentification — ont longtemps été la norme du secteur pour la connexion à deux facteurs. La SFC les considère désormais comme insuffisants face aux techniques modernes de phishing et indique aux entreprises que cette transition doit être traitée comme urgente, non optionnelle.

Les grandes sociétés de courtage en ligne, en particulier, ont été invitées à agir immédiatement plutôt que d’attendre la fin du délai de 12 mois.

Suppression progressive des mots de passe à usage unique en 12 mois

La nouvelle circulaire interdit les connexions basées sur les OTP sur toutes les plateformes agréées. La position de la SFC est claire : les mots de passe traditionnels à usage unique sont trop faciles à intercepter ou à reproduire via l’ingénierie sociale, les campagnes de spoofing et les sites de phishing qui incitent les utilisateurs à saisir leurs identifiants sur de fausses interfaces.

Le régulateur exige également que les entreprises mettent en place des systèmes de détection et de surveillance pour signaler les activités suspectes de connexion, de trading et de retrait. Les plateformes doivent informer rapidement les clients des actions significatives sur leurs comptes et répondre sans délai aux incidents de piratage. Des avertissements réguliers aux clients concernant les nouvelles escroqueries par usurpation d’identité font désormais également partie du dispositif de conformité.

Point crucial, la SFC a clairement indiqué que la haute direction porte la responsabilité ultime de l’adéquation de ces contrôles. Les entreprises dont les systèmes internes sont insuffisants pourraient être tenues responsables des pertes subies par les clients — un cadrage de la responsabilité qui donne un véritable poids à cette circulaire.

Méthodes d’authentification approuvées et liaison des appareils

La SFC a défini trois catégories de solutions acceptables résistantes au phishing : les passkeys, les appareils enregistrés utilisant une vérification cryptographique et les clés de sécurité matérielles. Ces trois options partagent un trait commun — elles lient l’authentification à un appareil physique ou à une preuve cryptographique qui ne peut pas être facilement interceptée ou reproduite à distance, même si un utilisateur est trompé et visite un faux site.

Cette approche reflète l’évolution mondiale des normes d’authentification résistante au phishing. Contrairement aux OTP, qui peuvent être collectés en temps réel par des attaquants menant des attaques de type homme du milieu, les passkeys et les clés matérielles exigent la possession de l’appareil effectivement enregistré. Il n’y a aucun code à voler.

La hausse des pertes liées au phishing et à la fraude menace les investisseurs crypto

La SFC n’a pas publié cet ordre dans le vide. Les chiffres qui le sous-tendent dressent un constat inconfortable.

Pertes mondiales liées au phishing crypto et escroqueries récentes

Les attaques de phishing et les escroqueries par ingénierie sociale ont généré 306 millions de dollars de pertes dans l’industrie crypto au cours du premier trimestre 2026 — représentant la majorité des 482 millions de dollars de pertes totales du secteur sur cette période. Au premier semestre 2026, les pertes liées au phishing avaient atteint 366 millions de dollars, soulignant une tendance à l’accélération plutôt qu’un pic isolé.

Les incidents individuels dressent un tableau tout aussi préoccupant. Quelques jours avant la circulaire de la SFC, un investisseur crypto a perdu près de 1 million de dollars après avoir signé une transaction d’approbation de jeton de phishing malveillant sur Ethereum. Plus tôt dans le même mois, un détenteur de portefeuille a perdu 1,65 million de dollars après s’être connecté à une fausse plateforme d’échange et avoir signé un contrat malveillant — une transaction qui a accordé aux attaquants un accès illimité aux fonds, selon le chercheur Ryan Coleman. Le 25 mai, l’analyste on-chain « b-block » a signalé que des escrocs avaient diffusé des publicités Google malveillantes usurpant l’identité de la bourse décentralisée Uniswap, volant plus de 400 000 dollars à des victimes qui pensaient visiter la véritable plateforme.

Statistiques sur les incidents de cybersécurité à Hong Kong

Localement, le profil de la menace est tout aussi grave. Les données du Cyber Security Accident Coordination Center de Hong Kong montrent que les attaques de contrefaçon et de fraude représentaient 57 % de tous les incidents de sécurité signalés en 2025. Cette concentration du risque dans une seule catégorie de menace — le spoofing et l’usurpation d’identité — correspond directement à ce que les nouvelles exigences de la SFC visent à contrer.

La convergence des données locales sur les incidents avec les pertes mondiales liées au phishing rend le calendrier de cette réglementation facile à comprendre. Le marché crypto de Hong Kong est en expansion, et plus il y a d’utilisateurs sur des plateformes agréées, plus la surface d’attaque est grande. La SFC semble agir avant qu’un incident majeur local ne l’y contraigne.

Réactions de l’industrie et appels à un renforcement de la sécurité des portefeuilles

Le cofondateur de Binance plaide pour une meilleure protection des portefeuilles

La pression pour relever les normes de sécurité ne vient pas seulement des régulateurs. Changpeng Zhao, cofondateur de Binance, a publiquement appelé à de meilleures mesures de sécurité des portefeuilles après qu’un investisseur a perdu 50 millions de dollars dans une escroquerie par empoisonnement d’adresse en décembre 2025. L’empoisonnement d’adresse est un vecteur d’attaque différent du phishing — il consiste à insérer une adresse de portefeuille frauduleuse quasi identique dans l’historique de transactions de la victime — mais il reflète le même schéma plus large : des attaquants exploitant de petits moments d’inattention avec des conséquences financières dévastatrices.

L’ampleur de cet incident, et le profil public de la personne qui l’a dénoncé, ont contribué à maintenir la sécurité crypto au centre des discussions dans l’industrie à l’approche de 2026.

Escroqueries notables par empoisonnement d’adresse suscitant l’alarme

L’empoisonnement d’adresse a généré certaines des pertes individuelles les plus frappantes de ces dernières années. En mai 2024, une victime a perdu 71 millions de dollars dans une attaque par empoisonnement d’adresse — un cas inhabituel qui s’est finalement terminé par le retour de la totalité du montant par l’attaquant après que des enquêteurs ont affirmé avoir retracé une adresse IP potentielle. Ce dénouement était exceptionnel. La plupart des victimes de ces stratagèmes ne récupèrent rien.

Points de vue d’experts sur la lutte contre le phishing crypto

« Pour protéger les comptes des clients contre des attaques de contrefaçon et de fraude de plus en plus complexes et changeantes, des mesures globales doivent être mises en œuvre conjointement avec la prévention, la détection, la réponse et l’éducation », a déclaré Ye Zhiheng, directeur exécutif du département des intermédiaires de la Commission chinoise de régulation des valeurs mobilières.

Le cadrage est important. La prévention par une meilleure authentification n’est qu’une couche. Les systèmes de détection, la réponse rapide aux incidents et la formation continue des utilisateurs constituent le reste de l’approche que les régulateurs considèrent désormais comme nécessaire. La circulaire de la SFC reflète cette pensée en couches — elle ne se contente pas d’imposer une meilleure technologie de connexion et de s’arrêter là. Elle demande aux entreprises de construire une posture de sécurité intégrée, de l’écran de connexion jusqu’à la communication avec les clients.

Ce que la réglementation ne précise pas encore, c’est la manière dont les plus petites plateformes de négociation d’actifs virtuels absorberont le coût et la complexité technique de la mise en œuvre à grande échelle des clés de sécurité matérielles et de la liaison cryptographique des appareils. Le délai de 12 mois laisse aux entreprises le temps de planifier, mais l’écart entre un grand courtier agréé et une petite VATP en termes de capacités d’ingénierie de sécurité est réel. La façon dont la SFC gérera cette disparité — et si les sanctions pour non-conformité seront proportionnées — pourrait déterminer l’efficacité réelle de ce mandat.

FAQ

Quelles nouvelles exigences de connexion la Securities and Futures Commission de Hong Kong a-t-elle imposées aux plateformes crypto ?

La SFC exige que les plateformes crypto et les courtiers en ligne adoptent des méthodes d’authentification résistantes au phishing — en particulier les passkeys, les appareils enregistrés avec vérification cryptographique et les clés de sécurité matérielles — tout en interdisant les mots de passe à usage unique envoyés par SMS, e-mail ou via des connexions basées sur des applications. Les entreprises disposent de 12 mois pour mettre en œuvre ces changements, bien que les grands courtiers en ligne aient été invités à agir immédiatement.

Pourquoi ces nouvelles méthodes de connexion résistantes au phishing sont-elles imposées maintenant ?

Ce mandat fait suite à une forte hausse des attaques de phishing et des escroqueries par ingénierie sociale qui ont causé 306 millions de dollars de pertes dans l’industrie crypto au premier trimestre 2026, ainsi qu’à des données montrant que les attaques de contrefaçon et de fraude représentaient 57 % des incidents de cybersécurité signalés à Hong Kong en 2025. La SFC considère les OTP comme insuffisants face à la sophistication des techniques d’attaque actuelles.

Quelles alternatives aux mots de passe à usage unique sont acceptées par le régulateur hongkongais ?

La SFC a approuvé trois catégories de solutions résistantes au phishing : les passkeys, les appareils enregistrés avec vérification cryptographique et les clés de sécurité matérielles. Ces méthodes lient l’authentification à un appareil physique ou à une preuve cryptographique, ce qui les rend beaucoup plus difficiles à intercepter pour les attaquants, même via des sites usurpés ou l’ingénierie sociale.

Quelle a été la réaction de l’industrie crypto face à ces menaces de phishing ?

Des leaders du secteur, dont le cofondateur de Binance Changpeng Zhao, ont appelé à un renforcement de la sécurité des portefeuilles à la suite d’incidents très médiatisés, notamment une escroquerie par empoisonnement d’adresse de 50 millions de dollars en décembre 2025. L’action de la SFC formalise ce que des figures éminentes de l’industrie préconisent de manière informelle depuis des mois.

{« @context »: »https://schema.org », »@type »: »FAQPage », »mainEntity »:[{« @type »: »Question », »name »: »Quelles nouvelles exigences de connexion la Securities and Futures Commission de Hong Kong a-t-elle imposées aux plateformes crypto ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »La SFC exige que les plateformes crypto et les courtiers en ligne adoptent des méthodes d’authentification résistantes au phishing — en particulier les passkeys, les appareils enregistrés avec vérification cryptographique et les clés de sécurité matérielles — tout en interdisant les mots de passe à usage unique envoyés par SMS, e-mail ou via des connexions basées sur des applications. Les entreprises disposent de 12 mois pour mettre en œuvre ces changements, bien que les grands courtiers en ligne aient été invités à agir immédiatement. »}},{« @type »: »Question », »name »: »Pourquoi ces nouvelles méthodes de connexion résistantes au phishing sont-elles imposées maintenant ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Ce mandat fait suite à une forte hausse des attaques de phishing et des escroqueries par ingénierie sociale qui ont causé 306 millions de dollars de pertes dans l’industrie crypto au premier trimestre 2026, ainsi qu’à des données montrant que les attaques de contrefaçon et de fraude représentaient 57 % des incidents de cybersécurité signalés à Hong Kong en 2025. La SFC considère les OTP comme insuffisants face à la sophistication des techniques d’attaque actuelles. »}},{« @type »: »Question », »name »: »Quelles alternatives aux mots de passe à usage unique sont acceptées par le régulateur hongkongais ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »La SFC a approuvé trois catégories de solutions résistantes au phishing : les passkeys, les appareils enregistrés avec vérification cryptographique et les clés de sécurité matérielles. Ces méthodes lient l’authentification à un appareil physique ou à une preuve cryptographique, ce qui les rend beaucoup plus difficiles à intercepter pour les attaquants, même via des sites usurpés ou l’ingénierie sociale. »}},{« @type »: »Question », »name »: »Quelle a été la réaction de l’industrie crypto face à ces menaces de phishing ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Des leaders du secteur, dont le cofondateur de Binance Changpeng Zhao, ont appelé à un renforcement de la sécurité des portefeuilles à la suite d’incidents très médiatisés, notamment une escroquerie par empoisonnement d’adresse de 50 millions de dollars en décembre 2025. L’action de la SFC formalise ce que des figures éminentes de l’industrie préconisent de manière informelle depuis des mois. »}}]}

Article produit avec l’aide de l’intelligence artificielle et relu par l’équipe éditoriale.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST