La SFC de Hong Kong ordonne aux courtiers et aux plateformes crypto de remplacer les OTP par des passkeys

MSFT0,33%

La Commission des valeurs mobilières et des contrats à terme de Hong Kong (SFC) a ordonné aux courtiers en ligne et aux plateformes de négociation d’actifs virtuels agréés de remplacer les mots de passe à usage unique par des méthodes d’authentification résistantes au phishing dans des exigences publiées le 9 juillet. Les entreprises doivent mettre en place, dans un délai de 12 mois, des contrôles plus stricts pour l’ouverture de session et la liaison des appareils, les courtiers plus importants étant censés commencer l’adoption immédiatement. Cette directive vise les attaques par phishing, qui ont représenté 57 % de tous les incidents de cybersécurité signalés au Hong Kong Computer Emergency Response Team Coordination Centre en 2025. La SFC a indiqué que les mots de passe à usage unique classiques ne suffisent plus face à des campagnes de phishing de plus en plus sophistiquées visant des comptes de négociation en ligne. Le changement renforce l’approche de Hong Kong consistant à soumettre les sociétés d’actifs numériques à des exigences réglementaires similaires à celles imposées aux institutions financières traditionnelles.

La SFC estime que les OTP ne suffisent plus pour protéger les comptes

La SFC a déclaré que les courtiers en ligne et les opérateurs de plateformes de négociation d’actifs virtuels devraient cesser d’utiliser des mots de passe à usage unique à la fois pour la connexion des clients et pour la liaison des appareils, car des technologies d’authentification plus sûres sont désormais largement disponibles. Le régulateur a cité les passkeys et la liaison des appareils comme exemples de méthodes d’authentification résistantes au phishing, capables d’empêcher les attaquants d’accéder aux comptes même lorsque les clients sont trompés pour divulguer leurs identifiants.

La liaison des appareils relie le compte de négociation d’un client à un ordinateur ou à un appareil mobile enregistré de manière sécurisée à l’aide de caractéristiques uniques de l’appareil, rendant nettement plus difficile l’accès des criminels à partir de matériel non autorisé. La SFC avait d’abord averti les entreprises en février 2025 des faiblesses associées à l’authentification basée sur OTP à la suite d’une revue de cybersécurité. La circulaire la plus récente transforme ces recommandations en exigence réglementaire.

Les plateformes crypto doivent respecter les mêmes normes d’authentification que les courtiers traditionnels

Les nouvelles exigences s’appliquent de manière identique aux courtiers en valeurs mobilières agréés et aux opérateurs de plateformes de négociation d’actifs virtuels. Au-delà d’une authentification plus robuste, les entreprises doivent mettre en place des systèmes de surveillance efficaces capables de détecter les tentatives de connexion suspectes, les activités de négociation inhabituelles et les demandes de retrait anormales. Elles devraient également notifier rapidement les clients des événements significatifs touchant leur compte, répondre sans délai aux incidents de piratage et avertir régulièrement les clients des campagnes de phishing émergentes ainsi que d’autres menaces cybernétiques.

La SFC a indiqué que la direction senior restera ultimement responsable de la protection des avoirs des clients et a averti que les entreprises pourraient être tenues responsables des pertes résultant de contrôles de cybersécurité inadéquats. Dr Eric Yip, directeur exécutif des intermédiaires à la SFC, a déclaré : « Protéger les comptes clients contre des attaques de phishing de plus en plus sophistiquées et difficiles à déjouer nécessite des mesures globales combinant la prévention, la détection, la réponse et l’éducation. Les entreprises agréées doivent renforcer leur première ligne de défense avec des solutions d’authentification robustes, rester attentives aux activités suspectes et réagir rapidement avant que tout dommage ne soit causé. »

Les passkeys gagnent un appui réglementaire en tant que technologie résistante au phishing

Contrairement aux identifiants traditionnels, les passkeys reposent sur une authentification cryptographique liée à l’appareil de l’utilisateur et ne peuvent pas facilement être interceptées ni réutilisées via des sites Web de phishing. Des entreprises technologiques, dont Apple, Google et Microsoft, ont déjà intégré la prise en charge des passkeys dans leurs systèmes d’exploitation, tandis que des banques et des sociétés fintech ont commencé à déployer cette technologie pour l’authentification des clients. Pour les courtiers et les bourses crypto, une authentification plus forte est devenue de plus en plus essentielle, car les cybercriminels ciblent des comptes de négociation pouvant offrir un accès immédiat à la trésorerie, aux titres et aux actifs numériques.

La SFC exhorte les investisseurs à suivre des pratiques de cybersécurité de base

En plus des contrôles techniques, la SFC a exhorté les investisseurs à continuer de respecter les pratiques élémentaires de cybersécurité, notamment l’utilisation de mots de passe forts et uniques, la mise à jour des appareils, l’accès aux comptes uniquement via des sites et applications officiels, et la vérification des relevés de compte pour toute activité non autorisée. Le régulateur a conseillé aux investisseurs qui pensent que leurs identifiants ont été compromis de contacter immédiatement leur courtier ou plateforme d’actifs virtuels, de sécuriser leurs comptes et de signaler l’incident aux autorités compétentes.

FAQ

Quels moyens d’authentification la SFC de Hong Kong a-t-elle ordonné de remplacer aux courtiers et aux plateformes crypto ?

La SFC a ordonné aux courtiers en ligne et aux plateformes de négociation d’actifs virtuels agréés de remplacer les mots de passe à usage unique par des méthodes d’authentification résistantes au phishing, telles que les passkeys et la liaison des appareils, dans des exigences publiées le 9 juillet.

Pourquoi la SFC a-t-elle exigé une authentification plus forte pour les comptes de négociation ?

La SFC a indiqué que des attaques par phishing représentaient 57 % de tous les incidents de cybersécurité signalés au Hong Kong Computer Emergency Response Team Coordination Centre en 2025, précisant que les mots de passe à usage unique classiques ne sont plus suffisants face à des campagnes de phishing de plus en plus sophistiquées visant des comptes de négociation en ligne.

Quel est le délai de mise en œuvre pour les nouvelles exigences d’authentification ?

Les entreprises doivent mettre en place des contrôles plus stricts pour la connexion et la liaison des appareils dans les 12 mois suivant la publication du 9 juillet, tandis que les courtiers plus importants devraient commencer à adopter ces mesures immédiatement.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire