AccueilBlockchainRéglementationSécurité des cryptomonnaies à Hong Kong : l’interdiction des OTP fait suite...

Sécurité des cryptomonnaies à Hong Kong : l’interdiction des OTP fait suite à une hausse de 27 % des cyberattaques

L’initiative de Hong Kong pour renforcer la sécurité des cryptomonnaies vient de franchir une étape concrète et lourde de conséquences. La Securities and Futures Commission de la ville a publié une circulaire interdisant les connexions par mot de passe à usage unique sur l’ensemble des plateformes de trading de crypto et des courtiers en ligne — une réponse directe à une épidémie de phishing qui est en train de vider discrètement les comptes des utilisateurs et de submerger l’infrastructure de cybersécurité de la région.

Points clés à retenir

  • La SFC de Hong Kong a interdit les connexions par SMS, e-mail et OTP basés sur des applications pour les plateformes crypto et les courtiers en ligne, exigeant à la place des passkeys ou d’autres méthodes résistantes au phishing.
  • Les opérateurs disposent d’un délai de 12 mois pour se conformer ; les grands courtiers doivent agir immédiatement.
  • Hong Kong a enregistré 15 877 incidents de cybersécurité en 2025 — une hausse de 27 % par rapport à l’année précédente — le phishing représentant 57 % des cas.
  • La haute direction des plateformes agréées est désormais directement et personnellement responsable des pertes clients liées à des contrôles d’authentification faibles.
  • De récentes attaques de phishing ont siphonné 12 300 $ d’un utilisateur de HyperSwap et environ 400 000 $ via de faux sites Uniswap, illustrant l’ampleur de la menace.

Hong Kong interdit les connexions par OTP pour lutter contre les risques de phishing

La circulaire de la SFC est inhabituellement directe pour un régulateur financier : cessez d’utiliser les mots de passe à usage unique, et faites-le immédiatement si vous êtes un grand courtier. Pour les opérateurs plus petits, la fenêtre est de 12 mois à compter de la publication de la circulaire. Il n’y a aucune ambiguïté et aucun mécanisme de prolongation mentionné.

Détails de l’interdiction des OTP et des nouvelles exigences d’authentification

L’interdiction couvre toutes les formes courantes d’OTP — codes SMS, liens de vérification par e-mail et jetons générés par application — supprimant ce qui a historiquement constitué l’une des couches de sécurité de connexion les plus familières dans les services financiers. À leur place, les plateformes doivent mettre en œuvre des passkeys, des appareils enregistrés avec vérification cryptographique et des clés de sécurité matérielles. La SFC les a décrits collectivement comme des solutions résistantes au phishing, ce qui signifie qu’elles sont conçues pour être inutilisables même si un utilisateur est trompé et redirigé vers un site frauduleux.

« Pour protéger les comptes clients contre des attaques de phishing de plus en plus sophistiquées et variées, une approche globale combinant prévention, détection, réponse et éducation est nécessaire », a déclaré le Dr Yip Chi-hang, directeur exécutif de la division des intermédiaires de la SFC. Il a ajouté que les institutions agréées doivent renforcer leur première ligne de défense grâce à une authentification robuste et réagir rapidement avant que les dommages ne surviennent.

La logique sous-jacente est simple : les OTP peuvent être interceptés ou transmis en temps réel par un site de phishing. Les passkeys et le couplage cryptographique des appareils ne le peuvent pas. L’attaquant qui parvient à tromper un utilisateur pour qu’il saisisse un code à usage unique sur une fausse page d’échange obtient tout ce dont il a besoin. L’attaquant qui se heurte à une connexion liée à une passkey n’obtient rien d’exploitable.

Délais de conformité et impact immédiat sur les grands courtiers

La fenêtre de 12 mois s’applique largement à tous les opérateurs, mais les grandes sociétés de courtage en ligne font l’objet d’un examen immédiat sans période de grâce. Le cadrage de la SFC — « dès que raisonnablement possible » — indique qu’elle s’attend à ce que les grandes institutions traitent cela comme une urgence opérationnelle, et non comme une étape de projet future. Les entreprises qui ne respectent pas le délai s’exposent à des mesures coercitives et à des dommages réputationnels, une combinaison qui pourrait affecter à la fois leur position réglementaire et la confiance des clients dans un marché où la crédibilité de la licence est primordiale.

Augmentation des attaques de phishing et des menaces de cybersécurité à Hong Kong

Les chiffres à l’origine de cette réglementation sont frappants. Hong Kong a enregistré 15 877 incidents de cybersécurité en 2025, soit une hausse de 27 % par rapport à l’année précédente — et plus du double des 7 752 incidents recensés en 2023. Les attaques de phishing et d’usurpation d’identité représentaient 57 % de tous les cas signalés, selon les données du Hong Kong Cyber Security Incident Coordination Centre citées dans la déclaration de la SFC.

Une flambée des incidents cyber liée au phishing

L’accélération est notable. Passer d’environ 7 752 incidents en 2023 à près de 16 000 deux ans plus tard reflète un problème structurel, et non une anomalie statistique. Les attaques par botnet arrivaient derrière le phishing avec 18 % des cas, suivies par les malwares à 15 %. Mais c’est le phishing qui se trouve au cœur de la préoccupation de la SFC — précisément parce qu’il s’agit du vecteur d’attaque le plus directement favorisé par les systèmes de connexion basés sur les OTP.

À l’échelle mondiale, le tableau est tout aussi alarmant. Les attaques de phishing et les escroqueries d’ingénierie sociale ont représenté 306 millions de dollars sur les 482 millions de dollars de pertes totales de l’industrie crypto pour le seul premier trimestre 2026. La première moitié de l’année a vu les pertes totales liées au phishing atteindre 366 millions de dollars, selon les données de suivi sectorielles citées dans des rapports corroborants.

Cas notables de vols de crypto liés à des escroqueries de phishing

Deux cas récents illustrent exactement ce que la SFC tente d’empêcher. Une fausse opération d’airdrop via phishing a siphonné 12 300 $ d’un utilisateur de HyperSwap en moins de 90 secondes. À peu près à la même période, des escrocs ont déployé de fausses publicités Google usurpant l’identité de la bourse décentralisée Uniswap, détournant apparemment environ 400 000 $ de plusieurs portefeuilles via un faux site. Les deux cas impliquaient un vol d’identifiants au moment de la connexion — la vulnérabilité exacte que les systèmes OTP laissent ouverte.

Ce ne sont pas des cas isolés. Un investisseur en crypto a perdu près de 1 million de dollars après avoir signé une approbation de jeton de phishing malveillant sur Ethereum. Un autre détenteur de portefeuille aurait perdu 1,65 million de dollars après s’être connecté à une fausse plateforme d’échange et signé un contrat donnant aux attaquants un accès illimité aux fonds. Le schéma est cohérent, extensible et de plus en plus difficile à distinguer des interactions légitimes avec les plateformes.

Application de la réglementation et responsabilité de la direction

L’élément peut-être le plus lourd de conséquences du nouveau cadre est la répartition des responsabilités. La SFC a clairement indiqué que la haute direction des plateformes agréées porte la responsabilité ultime de la protection des comptes clients. Des contrôles de cybersécurité faibles ne sont plus un simple écart de conformité à corriger discrètement — ils constituent un déclencheur direct de responsabilité de la direction lorsque des pertes clients surviennent.

Responsabilité de la haute direction en cas de pertes clients

Il s’agit d’une norme plus stricte que les orientations précédentes. Auparavant, l’exposition réglementaire des entreprises se concentrait principalement sur les sanctions institutionnelles. Le nouveau cadre place les dirigeants individuels au premier plan. Si les contrôles d’authentification d’une plateforme sont inadéquats et qu’un client perd des fonds à cause d’une attaque de phishing, la chaîne de responsabilité remonte désormais directement aux personnes au sommet de l’entreprise.

Ce changement de responsabilité modifie considérablement le calcul interne. Les équipes de conformité trouveront beaucoup plus facile d’obtenir des budgets et une priorisation pour les mises à niveau d’authentification lorsque l’alternative est la responsabilité personnelle du PDG ou du CTO.

Conséquences du non-respect et exigences opérationnelles

Au-delà de la question de la responsabilité, les plateformes doivent désormais mettre en place des systèmes continus de détection et de surveillance capables d’identifier en temps réel les connexions, transactions et retraits suspects. Elles sont également tenues d’informer rapidement les clients de toute activité significative sur leur compte — couvrant les événements de couplage d’appareil, les anomalies de connexion et les schémas de transaction inhabituels — et d’avertir régulièrement les utilisateurs des nouvelles escroqueries d’usurpation d’identité.

Les entreprises qui ne respectent pas le délai de 12 mois s’exposent à des mesures coercitives et à des dommages réputationnels. Dans l’environnement crypto fortement réglementé de Hong Kong, où la crédibilité de la licence est un facteur de différenciation concurrentielle, cette combinaison a un poids réel.

Ce que cela signifie pour l’industrie crypto mondiale

L’interdiction de Hong Kong n’existe pas en vase clos. Le FBI mène des opérations mondiales de répression de la cybercriminalité visant des réseaux fondés sur des identifiants volés. Tether, opérant aux côtés de l’unité T3 de TRON, gèle des actifs crypto liés à des opérations organisées de vol d’identifiants. Les communautés réglementaires et répressives avancent clairement dans la même direction — et Hong Kong vient d’aller plus vite que la plupart.

La question est désormais de savoir si des pairs comme Singapour, le Royaume-Uni et d’autres grandes juridictions de régulation crypto traiteront cela comme un modèle ou attendront que leurs propres statistiques de pertes atteignent un seuil similaire. MiCAR, le cadre crypto de l’UE entré pleinement en vigueur le 1er juillet 2026, a fixé des normes strictes de gouvernance et de conformité — mais n’impose pas encore spécifiquement les passkeys. L’écart entre les exigences générales de cybersécurité et le type de mandat spécifique à l’authentification que Hong Kong vient d’édicter pourrait devenir la prochaine frontière de convergence réglementaire.

Pour les plateformes crypto opérant à l’échelle mondiale, l’implication pratique est déjà visible : l’infrastructure technique requise pour se conformer à Hong Kong — passkeys, couplage cryptographique des appareils, détection d’anomalies en temps réel — est précisément ce que les régulateurs ailleurs sont susceptibles d’exiger ensuite. La construire dès maintenant, plutôt que juridiction par juridiction, pourrait être la voie la plus rationnelle à suivre.

FAQ

Quels modes de connexion Hong Kong a-t-il interdits pour les plateformes crypto ?

La Securities and Futures Commission de Hong Kong a interdit les mots de passe à usage unique par SMS, e-mail et application pour les connexions aux plateformes de trading de crypto et le couplage d’appareils.

Quelles méthodes d’authentification sont requises à la place des OTP ?

Les plateformes doivent mettre en œuvre des passkeys, des appareils enregistrés avec vérification cryptographique et des clés de sécurité matérielles — des méthodes que la SFC décrit comme des solutions résistantes au phishing qui ne peuvent pas être interceptées via des attaques de phishing classiques.

Quels sont les délais pour que les plateformes crypto se conforment aux nouvelles règles ?

Les opérateurs disposent d’un délai de 12 mois pour se conformer aux nouvelles exigences d’authentification. Les grandes sociétés de courtage en ligne, en revanche, doivent passer immédiatement aux nouvelles méthodes, sans période de grâce.

Quelles sont les conséquences pour les entreprises qui ne respectent pas le délai de conformité ?

Les entreprises qui ne respectent pas le délai s’exposent à des mesures coercitives réglementaires et à des dommages réputationnels. De plus, la haute direction peut être tenue directement responsable des pertes clients causées par des contrôles de cybersécurité inadéquats — une norme de responsabilité plus stricte que les orientations précédentes.

{« @context »: »https://schema.org », »@type »: »FAQPage », »mainEntity »:[{« @type »: »Question », »name »: »Quels modes de connexion Hong Kong a-t-il interdits pour les plateformes crypto ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »La Securities and Futures Commission de Hong Kong a interdit les mots de passe à usage unique par SMS, e-mail et application pour les connexions aux plateformes de trading de crypto et le couplage d’appareils. »}},{« @type »: »Question », »name »: »Quelles méthodes d’authentification sont requises à la place des OTP ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Les plateformes doivent mettre en œuvre des passkeys, des appareils enregistrés avec vérification cryptographique et des clés de sécurité matérielles — des méthodes que la SFC décrit comme des solutions résistantes au phishing qui ne peuvent pas être interceptées via des attaques de phishing classiques. »}},{« @type »: »Question », »name »: »Quels sont les délais pour que les plateformes crypto se conforment aux nouvelles règles ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Les opérateurs disposent d’un délai de 12 mois pour se conformer aux nouvelles exigences d’authentification. Les grandes sociétés de courtage en ligne, en revanche, doivent passer immédiatement aux nouvelles méthodes, sans période de grâce. »}},{« @type »: »Question », »name »: »Quelles sont les conséquences pour les entreprises qui ne respectent pas le délai de conformité ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Les entreprises qui ne respectent pas le délai s’exposent à des mesures coercitives réglementaires et à des dommages réputationnels. De plus, la haute direction peut être tenue directement responsable des pertes clients causées par des contrôles de cybersécurité inadéquats — une norme de responsabilité plus stricte que les orientations précédentes. »}}]}

Article produit avec l’assistance de l’intelligence artificielle et relu par l’équipe éditoriale.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST