A black USB device with a gold button, positioned
Crypto

Hong Kong interdit les connexions OTP pour les cryptos

Le régulateur promeut les clés d'accès, les vérifications cryptographiques liées aux appareils et les clés matérielles comme des alternatives résistantes au phishing.

Par AI News Crypto Editorial Team4 min de lecture

La Commission des valeurs mobilières et des contrats à terme de Hong Kong a ordonné aux plateformes de trading d'actifs virtuels et aux courtiers en ligne d'adopter une authentification résistante au phishing et un lien avec les appareils dans un délai de 12 mois.

La nouvelle norme interdit explicitement les mots de passe à usage unique envoyés par SMS, email ou via des flux de connexion basés sur des applications, obligeant les plateformes à retravailler les modèles d'accès courants pour les traders de détail.

Principaux enseignements

  • La SFC de Hong Kong a fixé un délai de mise en œuvre de 12 mois pour les nouvelles exigences de connexion résistantes au phishing couvrant les actifs virtuels.actifplateformes de trading et courtiers en ligne.
  • Les mots de passe à usage unique délivrés par SMS, email ou flux de connexion via application sont interdits selon la nouvelle norme.
  • Les clés d'accès, les dispositifs enregistrés vérifiés cryptographiquement et les clés de sécurité matérielles ont été mentionnés comme des voies acceptables résistantes au phishing.
  • Le phishing et l'ingénierie sociale ont représenté 306 millions de dollars des 482 millions de dollars de pertes totales de l'industrie crypto au premier trimestre 2026.

La SFC lance un compte à rebours de 12 mois pour des connexions résistantes au phishing.

Les valeurs mobilières de Hong Kong etFuturesLa Commission des valeurs mobilières (SFC) a publié de nouvelles exigences le jeudi 9 juillet 2026, demandant aux plateformes de trading d'actifs virtuels (VATPs) et aux courtiers en ligne de la ville d'adopter des contrôles d'authentification résistants au phishing et de liaison des appareils dans les 12 mois.

Pour les participants au marché, le titre concerne moins une nouvelle fonctionnalité qu'une norme minimale imposée pour l'accès aux comptes. La SFC considère la sécurité de connexion comme une surface de contrôle essentielle pour les lieux réglementés, et non comme une préférence utilisateur.

L'extrait du paquet ne comprend pas le document complet de la SFC, laissant des questions ouvertes sur les plateformes spécifiques couvertes et sur la manière dont l'application sera effectuée.

OTP via SMS/Email/App est obsolète : Ce que la nouvelle norme exige

La norme interdit les mots de passe à usage unique (OTP) livrés par SMS, email ou connexions basées sur une application. Cela frappe directement les modèles d'authentification à deux facteurs les plus courants utilisés dans les applications de trading de détail, et cela force effectivement une migration loin de la vérification basée sur un code qui peut être intercepté ou manipulé socialement.

L'exigence de la SFC associe "authentification résistante au phishing" avec "liaison des appareils". En pratique, cela signifie que l'accès doit être lié à un appareil enregistré spécifique utilisant des vérifications cryptographiques, plutôt que de s'appuyer sur un code qui peut être saisi sur un faux site ou remis à un attaquant.

L'implication opérationnelle est simple. Au cours de la période de 12 mois, les traders doivent s'attendre à des changements progressifs tels que de nouvelles invites d'enregistrement d'appareil, des étapes de récupération de compte modifiées et une friction accrue lors des premières connexions et des changements d'appareil alors que les lieux abandonnent les flux basés sur les OTP.

Clés d'accès, vérification cryptographique des appareils et clés matérielles : Les chemins approuvés

La SFC a cité les clés d'accès, les appareils enregistrés avec vérification cryptographique et les clés de sécurité matérielles comme alternatives résistantes au phishing.

Les clés d'accès déplacent généralement l'authentification vers des clés cryptographiques stockées sur un appareil et déverrouillées par biométrie ou un code PIN d'appareil, réduisant la valeur des mots de passe volés et éliminant le moment "tapez le code" que les kits de phishing exploitent.

La vérification cryptographique des appareils enregistrés pointe vers un modèle où le lieu vérifie l'appareil lui-même, et non seulement la connaissance par l'utilisateur d'un mot de passe. Les clés de sécurité matérielles étendent ce concept avec un facteur physique qui prouve la possession.

Pris ensemble, le menu signale une préférence pour des méthodes d'authentification qui sont matériellement plus difficiles à hameçonner que les OTP, même lorsque les attaquants peuvent imiter de manière convaincante la page de connexion d'un lieu.

L'impact commercial est opérationnel—Surveillez les déploiements, les verrouillages et les frictions entre lieux.

La SFC a encadré le mouvement dans un contexte de menace mesurable. Les attaques de phishing et les escroqueries d'ingénierie sociale ont représenté 306 millions de dollars des 482 millions de dollars de pertes totales de l'industrie crypto au premier trimestre 2026. Le document cite également des pertes liées aux escroqueries de phishing totalisant 366 millions de dollars au cours du premier semestre 2026.

Au niveau local, les attaques de contrefaçon et de fraude ont représenté 57 % des incidents de sécurité signalés au Centre de coordination des accidents de cybersécurité de Hong Kong en 2025.

Le Dr Ye Zhiheng a déclaré : « Pour protéger les comptes des clients contre des attaques de contrefaçon et de fraude de plus en plus complexes et changeantes, des mesures complètes doivent être mises en œuvre en conjonction avec la prévention, la détection, la réponse et l'éducation », positionnant le changement de connexion comme une couche dans un ensemble de contrôles plus large.

Pour les traders, le risque à court terme n'est pas la découverte des prix. C'est l'accès. Les déploiements d'une plateforme à l'autre peuvent créer des verrouillages, des récupérations retardées et des frictions lors des déplacements entre les lieux, surtout si le support des clés matérielles ou l'enrôlement des appareils est inégal.

Comment je lis les mandats de la SFC de Hong Kong sur les connexions résistantes au phishing.

Je considère cela comme un changement de structure de marché dans les infrastructures, et non comme un catalyseur narratif.

En interdisant les OTP via SMS, email ou flux de connexion basés sur des applications, la SFC oblige les lieux de Hong Kong à traiter l'authentification liée aux appareils et résistante au phishing comme un enjeu fondamental, et cela tend à se manifester d'abord comme un renouvellement opérationnel plutôt qu'un impact commercial immédiat.

Le seuil qui compte est de savoir si les lieux peuvent migrer les utilisateurs sans créer de friction d'accès persistante.

Si le support des clés d'accès, l'enrôlement lié aux appareils et les flux de récupération de compte se déploient proprement sur les plateformes dans un délai de 12 mois, la configuration commence à sembler structurelle plutôt que dictée par le récit, et le bénéfice pratique est moins d'événements de prise de contrôle de compte sans dégrader la continuité d'exécution.

Sources