Entretien exclusif avec Sébastien Martin, CEO de Raid Square, sur la sécurité en crypto
Comment récupérer des cryptos volées quand on est victime d’un hack ? Sébastien Martin a cofondé Raid Square, une société spécialisée dans la sécurité des cryptoactifs et l’investigation, qui travaille avec les plus gros acteurs européens de la blockchain, des smart-contracts, de la DeFi.
Avec d’autres acteurs français, il lance une “Ligue de sécurité du Web3” pour fédérer l’écosystème, et annonce à Cryptonews la création d’un grand évènement à dimension européenne, le Web3 Security Summit, qui se déroulera en mars prochain à Lille. C’est l’interview de la semaine.
Pouvez-vous nous parler de votre parcours et de ce que vous faites chez Raid Square?
Je suis juriste de formation en droit des affaires, droit français et droit allemand, titulaire d’un Master 2 LL.M. J’ai un background européen puisque j’ai grandi dix ans en Allemagne et trois ans en Pologne. J’ai toujours eu une appétence pour les sujets internationaux et géopolitiques. J’ai aussi une passion pour l’innovation, qui consiste à dire que ce qui existe aujourd’hui se fera peut-être différemment demain. Y contribuer est à la fois palpitant et challengeant.
L’univers de la blockchain et du Web3, j’y suis depuis bientôt quatre ans. J’ai commencé à appliquer mes connaissances au sein d’Equisafe, et comme l’écosystème m’a plu, j’y suis resté. C’est en faisant du consulting, en rencontrant un certain nombre de personnes, que nous avons remarqué avec mes deux associés, Thomas Ménard et Esteban Lopes, qu’une thématique revenait souvent : le web3 est porteur de risques, de hacks, d’erreurs et de failles intrinsèques.
Dans cet écosystème, on peut être confronté à des entités sous sanctions internationales, et avoir besoin d’un dispositif préventif LCB-FT (pour Lutte contre le blanchiment et le financement du terrorisme).
Si je perds mes fonds, j’ai besoin de les tracer pour voir où ils sont. Et enfin, il y a une notion de risque réputationnel. Pour répondre à toutes ces questions, on a la chance de développer une offre commune avec Forward Global, l’un des leaders européens de l’intelligence économique, qui avoisine les 100 millions d’euros de chiffre d’affaires.
Quel est le profil de vos clients ?
On a une trentaine de clients à ce jour, qui vont du corporate à l’acteur natif web3, des launchpads, des acteurs de la GameFi ou de la DeFi. On retrouve toute la diversité de l’écosystème. Pour ce qui est de l’investigation, on est pour l’instant sur du B2C, avec une trentaine d’investigations. Nous sommes assez fortement sollicités au regard de notre création qui remonte à un an et demi. C’est rassurant d’avoir de la demande.
L”idée, c’est : “On m’a volé mes cryptos, que pouvez-vous faire pour moi ?”
C’est un peu cela. On va non seulement tracer les flux financiers, mais aussi coordonner les actions de “law enforcement”, c’est-à-dire le fait de traduire par du droit une constatation réalisée par la technique.
Si les fonds sont à un endroit, on va demander d’aller les récupérer. Cela se fait dans une approche public-privé. L’autorité judiciaire valide ou invalide la demande, puis les forces de l’ordre font des saisies. L’Agrasc, une autorité administrative de tutelle qui dépend du Ministère de l’Intérieur et du Ministère de la Justice, va ensuite ouvrir un wallet avec les fonds saisis, afin que les victimes puissent faire une demande pour récupérer ces fonds.
Quand les gens viennent nous voir, ils ne se rendent pas forcément compte que ces procédures qui impliquent plusieurs millions d’euros de préjudice peuvent prendre 6 à 8 mois, voire plus. De l’autre côté, les “pieuvres” ont des tentacules gigantesques, c’est extrêmement dur de voir toutes leurs implications. C’est l’une de nos plus grosses activités.
Est-ce intrinsèque à la crypto ou est-ce lié au développement d’organisations ?
Ce n’est pas propre à la crypto mais c’est l’un de ses challenges. Ce que veulent les criminels, c’est trouver des portes pour convertir leurs cryptos en cash. Cela passe par des exchanges centralisés ou des OTC (échanges de gré à gré). Mais la science du tracing s’améliore, et les États ont la capacité à enquêter.
Y compris pour des blockchains privées comme Monero…
Exactement, il y a des techniques qui existent. Il ne faut pas voir ce phénomène comme quelque chose de statique, mais de très dynamique. À la fois dans les techniques employées par les criminels, comme dans celles utilisées par l’État pour y répondre.
C’est un défi parce que cela va extrêmement vite et, pour que cela se diffuse dans l’ensemble des maillons de la chaîne, cela prend du temps.
Nous avons la capacité d’agir. Mais le véritable enjeu, c’est de savoir si nous serons en capacité de traiter le nombre incalculable de dossiers qui arrivent tous les jours.
D’où peut-être la raison d’être de cette “Ligue de sécurité du Web3” que vous êtes en train de créer avec plusieurs acteurs français de la sécurité crypto. Si je devais prendre une métaphore du rugby, c’est un “pack France” que vous êtes en train de constituer dans le domaine ? De quoi s’agit-il exactement ?
C’est une bonne métaphore parce que le rugby a des valeurs de solidarité qui sont obligatoires dans ce domaine. Les acteurs privés doivent être solidaires entre eux. Le privé doit être solidaire du public, et le public doit être solidaire du privé.
Dans le Web3 on sait que la sécurité est importante, mais il manquait une caisse de résonance pour en parler. La Ligue vient régler ce problème : c’est un cadre, qui crée un réseau qui aura une valeur opérationnelle. On va faire se parler des personnes qui travaillaient sur la même thématique, mais qui ne se connaissaient pas.
En se parlant, elles vont apprendre à rôder des process. Une quarantaine d’acteurs sont présents, comme Vivendi, Morpho Labs, la Gendarmerie nationale, des avocats, des entreprises de la cybersécurité ou de l’investigation numérique. L’idée est de faire travailler tous ces gens ensemble, car ils participent au même but. Le lancement est prévu au premier trimestre 2024.
Avec le bull-run qui arrive et les volumes de transactions on-chain qui augmentent ces dernières semaines, les hacks ont un impact toujours aussi important. Dernièrement avec le hack géant de collections de NFT Bored Ape Yacht Club (BAYC) ou Mutant Ape Yacht Club (MAYC), ou encore la faille technique dans le connecteur de Ledger, des évènements qui se sont heureusement plutôt bien terminés. Faut-il s’attendre à un boom de la cybercriminalité en 2024-2025 ?
Sur les hacks, la menace est permanente du simple fait qu’il y a une technologie qui repose sur des Github et où des personnes peuvent trouver des failles et tenter de les exploiter. Je ne dis pas qu’il faut fermer, mais on doit davantage intégrer nativement les principes de sécurité dans tout ce que nous développons dans cet écosystème. Or, à mon sens, la “sécurité by design” reste à faire aujourd’hui. Le point positif, c’est qu’autour du hack Ledger il y a eu une bonne solidarité avec des acteurs comme Chainalysis qui sont venus prêter main forte.
Sur le bull-run, je vois les mêmes travers qu’aux précédentes vagues haussières. La précipitation domine, notamment dans certains groupes Telegram. J’espère juste qu’on intégrera les leçons du passé et qu’on mettra la sécurité au cœur des enjeux.
Ce bull-run est important, car les institutionnels sont sur la ligne de départ. Plus que jamais, l’enjeu est de montrer que la crypto est une vraie industrie, avec des règles, de la confiance. Sinon, le risque, c’est de se retrouver avec un marché à deux vitesses, voire un seul marché ultra-institutionnel, avec une très grosse barrière à l’entrée pour ceux qui n’auront pas les moyens de se mettre en conformité.
Pour aborder tous ces enjeux, vous lancez un évènement spécialement dédié à la sécurité et au Web3 en mars prochain. C’est une première. Vous pouvez nous en dire plus ?
Oui, nous sommes très heureux de lancer le Web3 Security Summit, qui se déroulera sur une journée au sein du Forum InCyber Europe, le plus grand rassemblement européen sur les questions de sécurité et de confiance numériques, avec plus de 20 000 visiteurs, au Grand Palais de Lille, le 26 mars 2024.
Raid Square est mandaté pour développer cette journée sur la sécurité dans le Web3, avec des keynotes sur les grandes thématiques de sécurité blockchain. Il y aura aussi des espaces de démonstration et d’exposition pour donner de la visibilité aux solutions de sécurité.
Et enfin, il y aura une dimension pratique, avec 250 hackers qui participeront à une épreuve. Cela répond à une vraie question qui est la pénurie de talents : il faut permettre aux hackers du Web2 d’entrer dans le Web3, leur montrer qu’il y a des opportunités. Cela rend service aux protocoles de DeFi, et plus globalement à toute l’industrie. Si cela fonctionne bien, on aura la chance de développer à l’international. C’est un évènement Web2 dans lequel on a créé un lieu de brassage autour du Web3.
Sur le même sujet :