La Securities and Futures Commission (SFC) de Hong Kong a ordonné à toutes les plateformes de trading crypto agréées et aux courtiers en ligne de la ville de mettre en place des exigences de connexion résistantes au phishing dans les 12 prochains mois. La directive, publiée le 9 juillet, fixe une date butoir de conformité à la mi-2027.
Cette mesure s'attaque à une vulnérabilité persistante des marchés d'actifs numériques : le vol de données d'authentification. Les attaques de phishing – où des acteurs malveillants piègent les utilisateurs pour qu'ils leur remettent leurs mots de passe ou leurs codes d'authentification à deux facteurs – ont vidé des millions de dollars de comptes sur des plateformes d'échange à l'échelle mondiale. Les nouvelles règles de la SFC poussent les plateformes à adopter des méthodes d'authentification qui ne peuvent pas être facilement interceptées ou réutilisées.
Bien que le régulateur n'ait pas précisé de technologie exacte, le terme « résistant au phishing » désigne généralement des clés de sécurité matérielles (FIDO2/WebAuthn) ou une vérification biométrique liée à l'appareil de l'utilisateur. Les codes SMS standard et les mots de passe à usage unique générés par application, tous deux courants dans le secteur crypto, sont vulnérables aux proxys de phishing en temps réel. La SFC demande donc aux plateformes d'éliminer ce maillon faible.
Le délai de 12 mois donne aux opérateurs le temps de repenser leurs flux de connexion et de former les utilisateurs. Hong Kong renforce son emprise sur le secteur depuis l'introduction de son régime obligatoire de licence pour les prestataires de services sur actifs virtuels en 2023. Une poignée de plateformes ont déjà obtenu leur licence ou en ont fait la demande ; d'autres ont fermé ou ont quitté la ville.
Pour les traders, l'effet pratique est simple : attendez-vous à devoir enregistrer une clé de sécurité ou à activer une reconnaissance faciale avant de pouvoir trader. Cette étape supplémentaire, bien que contraignante, bloque le principal vecteur de prise de contrôle de comptes. L'ordre de la SFC s'applique aussi bien aux comptes des investisseurs particuliers qu'à ceux des professionnels placés sous sa supervision.
Cette directive intervient alors que les régulateurs mondiaux accentuent la pression sur la sécurité des plateformes d'échange. L'Agence japonaise des services financiers (FSA) impose déjà une authentification multifactorielle matérielle pour certains services crypto. La Financial Conduct Authority (FCA) britannique a fait du phishing l'une de ses priorités d'application. La règle de Hong Kong en fait le premier grand centre financier asiatique à codifier une norme anti-phishing spécifique pour les actifs numériques, et non une simple recommandation d'« authentification forte ».
La date clé pour les plateformes : juillet 2027. Toute entreprise qui ne se conforme pas s'expose à des conditions restrictives sur sa licence ou, dans le pire des cas, à sa révocation. Pour l'instant, le marché a interprété la nouvelle comme haussière – un renforcement de la sécurité réduit la probabilité de violations des plateformes d'échange, ce qui déclenche historiquement des ventes massives et érode la confiance des particuliers. La tenue de cette lecture haussière dépendra de la fluidité du déploiement.
Hong Kong impose des connexions anti-phishing aux plateformes crypto
Le régulateur de Hong Kong a ordonné aux plateformes de trading crypto agréées d'adopter des méthodes de connexion plus robustes dans un délai de 12 mois pour stopper les attaques de phishing qui volent les mots de passe des utilisateurs. Cette mesure vise à protéger les investisseurs et à renforcer la sécurité du marché des actifs numériques.