La Commission des valeurs mobilières et des contrats à terme de Hong Kong (SFC) a ordonné aux courtiers en ligne et aux plateformes de négociation d’actifs virtuels agréés de remplacer les mots de passe à usage unique par des méthodes d’authentification résistantes au phishing dans des exigences publiées le 9 juillet. Les entreprises doivent mettre en place, dans un délai de 12 mois, des contrôles plus stricts pour l’ouverture de session et la liaison des appareils, les courtiers plus importants étant censés commencer l’adoption immédiatement. Cette directive vise les attaques par phishing, qui ont représenté 57 % de tous les incidents de cybersécurité signalés au Hong Kong Computer Emergency Response Team Coordination Centre en 2025. La SFC a indiqué que les mots de passe à usage unique classiques ne suffisent plus face à des campagnes de phishing de plus en plus sophistiquées visant des comptes de négociation en ligne. Le changement renforce l’approche de Hong Kong consistant à soumettre les sociétés d’actifs numériques à des exigences réglementaires similaires à celles imposées aux institutions financières traditionnelles.
La SFC a déclaré que les courtiers en ligne et les opérateurs de plateformes de négociation d’actifs virtuels devraient cesser d’utiliser des mots de passe à usage unique à la fois pour la connexion des clients et pour la liaison des appareils, car des technologies d’authentification plus sûres sont désormais largement disponibles. Le régulateur a cité les passkeys et la liaison des appareils comme exemples de méthodes d’authentification résistantes au phishing, capables d’empêcher les attaquants d’accéder aux comptes même lorsque les clients sont trompés pour divulguer leurs identifiants.
La liaison des appareils relie le compte de négociation d’un client à un ordinateur ou à un appareil mobile enregistré de manière sécurisée à l’aide de caractéristiques uniques de l’appareil, rendant nettement plus difficile l’accès des criminels à partir de matériel non autorisé. La SFC avait d’abord averti les entreprises en février 2025 des faiblesses associées à l’authentification basée sur OTP à la suite d’une revue de cybersécurité. La circulaire la plus récente transforme ces recommandations en exigence réglementaire.
Les nouvelles exigences s’appliquent de manière identique aux courtiers en valeurs mobilières agréés et aux opérateurs de plateformes de négociation d’actifs virtuels. Au-delà d’une authentification plus robuste, les entreprises doivent mettre en place des systèmes de surveillance efficaces capables de détecter les tentatives de connexion suspectes, les activités de négociation inhabituelles et les demandes de retrait anormales. Elles devraient également notifier rapidement les clients des événements significatifs touchant leur compte, répondre sans délai aux incidents de piratage et avertir régulièrement les clients des campagnes de phishing émergentes ainsi que d’autres menaces cybernétiques.
La SFC a indiqué que la direction senior restera ultimement responsable de la protection des avoirs des clients et a averti que les entreprises pourraient être tenues responsables des pertes résultant de contrôles de cybersécurité inadéquats. Dr Eric Yip, directeur exécutif des intermédiaires à la SFC, a déclaré : « Protéger les comptes clients contre des attaques de phishing de plus en plus sophistiquées et difficiles à déjouer nécessite des mesures globales combinant la prévention, la détection, la réponse et l’éducation. Les entreprises agréées doivent renforcer leur première ligne de défense avec des solutions d’authentification robustes, rester attentives aux activités suspectes et réagir rapidement avant que tout dommage ne soit causé. »
Contrairement aux identifiants traditionnels, les passkeys reposent sur une authentification cryptographique liée à l’appareil de l’utilisateur et ne peuvent pas facilement être interceptées ni réutilisées via des sites Web de phishing. Des entreprises technologiques, dont Apple, Google et Microsoft, ont déjà intégré la prise en charge des passkeys dans leurs systèmes d’exploitation, tandis que des banques et des sociétés fintech ont commencé à déployer cette technologie pour l’authentification des clients. Pour les courtiers et les bourses crypto, une authentification plus forte est devenue de plus en plus essentielle, car les cybercriminels ciblent des comptes de négociation pouvant offrir un accès immédiat à la trésorerie, aux titres et aux actifs numériques.
En plus des contrôles techniques, la SFC a exhorté les investisseurs à continuer de respecter les pratiques élémentaires de cybersécurité, notamment l’utilisation de mots de passe forts et uniques, la mise à jour des appareils, l’accès aux comptes uniquement via des sites et applications officiels, et la vérification des relevés de compte pour toute activité non autorisée. Le régulateur a conseillé aux investisseurs qui pensent que leurs identifiants ont été compromis de contacter immédiatement leur courtier ou plateforme d’actifs virtuels, de sécuriser leurs comptes et de signaler l’incident aux autorités compétentes.
Quels moyens d’authentification la SFC de Hong Kong a-t-elle ordonné de remplacer aux courtiers et aux plateformes crypto ?
La SFC a ordonné aux courtiers en ligne et aux plateformes de négociation d’actifs virtuels agréés de remplacer les mots de passe à usage unique par des méthodes d’authentification résistantes au phishing, telles que les passkeys et la liaison des appareils, dans des exigences publiées le 9 juillet.
Pourquoi la SFC a-t-elle exigé une authentification plus forte pour les comptes de négociation ?
La SFC a indiqué que des attaques par phishing représentaient 57 % de tous les incidents de cybersécurité signalés au Hong Kong Computer Emergency Response Team Coordination Centre en 2025, précisant que les mots de passe à usage unique classiques ne sont plus suffisants face à des campagnes de phishing de plus en plus sophistiquées visant des comptes de négociation en ligne.
Quel est le délai de mise en œuvre pour les nouvelles exigences d’authentification ?
Les entreprises doivent mettre en place des contrôles plus stricts pour la connexion et la liaison des appareils dans les 12 mois suivant la publication du 9 juillet, tandis que les courtiers plus importants devraient commencer à adopter ces mesures immédiatement.
Actualités associées
La FSC ordonne aux sociétés de valeurs mobilières de soumettre des plans de protection des investisseurs d’ici le 13 juillet.
La SFC de Hong Kong ordonne la suppression progressive de l'OTP sur douze mois pour les entreprises de crypto et de courtage
Hyperliquid Policy Center et Phantom présentent à la CFTC la mise à jour des règles de trading sur la chaîne
La SFC de Hong Kong interdit les OTP pour les plateformes crypto face à la recrudescence des tentatives de phishing