Les crypto-monnaies, virtuelles par essence, peuvent se perdent à jamais dans les limbes du cyberespace en cas de mort physique de celui qui en détient la clé cryptographique. Des héritiers peuvent se retrouver dans l’incapacité de recouvrer les bitcoins d’un parent décédé (voir Exp n° 442, interview de M. Fontaine). Dernièrement, 115 000 clients de QuadrigaCX, premier marché canadien d’échanges de crypto-monnaies, ont perdu leur cyber argent, faute de pouvoir récupérer la clé de chiffrement détenue par le président de la plateforme, subitement décédé en décembre dernier. Dans l’impossibilité de rembourser la dette envers ses clients, soit environ 169 millions d’euros, QuadrigaCX a demandé à être placée sous la protection de la loi sur les faillites. Elle a obtenu une ordonnance de protection de 30 jours pour tenter de récupérer les fonds.
Le piratage informatique des plateformes de crypto-monnaies est loin de représenter un risque virtuel. Dernièrement, le site coréen Coinbin a cessé ses activités suite à un détournement de fond effectué par un de ses salariés. D’autres ont subi de massives cyberattaques et se sont faits dépouiller. Afin de protéger l’argent de ses clients, le fondateur de QuadrigaCX avait déposé les fonds, notamment de 26.500 Bitcoin, 430.000 Ether, ainsi que des millions de dollars en Bitcoin Cash SV, Bitcoin Gold et Litecoin, dans des « portefeuilles froids », un support hors ligne chiffré, en attendant de procéder aux transactions en ligne. Ces « portefeuilles froids » étaient bien protégés par le chiffrement des données, impossibles à déchiffrer sans le bon mot de passe. Or, le fondateur de QuadrigaCX était le seul détenteur du mot de passe des clés cryptographiques qui se trouvent sur l’ordinateur du défunt, lui-même crypté. Un expert en sécurité informatique désigné par le tribunal a tenté, sans succès, d’accéder au contenu de l’ordinateur.
Le premier marché canadien de crypto-monnaies a sombré à cause d’un excès de sécurité de son président. Plus qu’un excès de sécurité, il s’agit d’un manque d’anticipation des scénarios possibles. Première erreur, les clés cryptographiques étaient détenues par une seule personne. D’autres plateformes comme Coinbase ou encore Binance qui utilisent les « portefeuilles froids » ont recours à un système multi-signatures qui divise les clés privées entre différentes personnes. Deuxième erreur, les clés de chiffrement n’avaient pas été déposées chez un tiers de séquestre, une vraie mesure de sécurité.