Séisme dans la garde de cryptomonnaies ! DMM au Japon piraté pour 312 millions, inscription obligatoire prévue en 2026

Japan Financial Services Agency (FSA) envisage d’imposer une obligation d’enregistrement aux fournisseurs de services de garde et de gestion des transactions en cryptomonnaies. Un groupe de travail a discuté de cette question le 7 novembre, avec l’intention de limiter l’utilisation par les échanges de services uniquement fournis par des entités enregistrées. Cette initiative fait suite à la cyberattaque contre DMM Bitcoin en 2024, où environ 48,2 milliards de yens (environ 312 millions de dollars) de bitcoins ont été volés, l’intrusion ayant été confirmée via le sous-traitant Ginco.

DMM piraté pour 312 millions de dollars : une révolution réglementaire en marche

Le 7 novembre, le Nikkei rapporte qu’un groupe de travail sous l’égide du Conseil pour le Système Financier, une instance consultative du Premier ministre japonais, a discuté de nouvelles réglementations pour la garde de cryptomonnaies. La catalyse immédiate de cette discussion a été la cyberattaque contre DMM Bitcoin, qui a causé la perte d’environ 48,2 milliards de yens (312 millions de dollars), l’un des incidents de sécurité les plus graves de l’histoire des cryptomonnaies au Japon.

Ce qui est encore plus choquant, c’est le point d’entrée des hackers. L’enquête a révélé que l’attaque n’a pas directement compromis le système de la plateforme DMM, mais a exploité la faille via son sous-traitant, la société de logiciels Ginco basée à Tokyo. DMM confie la gestion de ses transactions à Ginco, dont le système présente des vulnérabilités de sécurité, faisant de cette dernière le maillon faible de la chaîne. Ce mode d’attaque, appelé « attaque par la chaîne d’approvisionnement », met en lumière une faille critique dans le système actuel de garde de cryptomonnaies.

Selon la réglementation en vigueur, les plateformes d’échange doivent gérer strictement les dépôts, notamment en conservant les actifs des utilisateurs dans des portefeuilles froids. Depuis le piratage de Coincheck en 2017, qui avait entraîné la perte de 530 millions de dollars, le Japon a mis en place l’un des cadres réglementaires les plus stricts au monde pour les échanges. Cependant, le Nikkei souligne qu’aucune réglementation spécifique n’existe actuellement pour les fournisseurs de services tiers collaborant avec ces plateformes. Ce vide réglementaire est à l’origine de l’incident DMM.

La leçon tirée de cette affaire est douloureuse. Même si une plateforme respecte toutes les normes de sécurité — stockage en cold wallets, multi-signatures — si ses prestataires tiers présentent des vulnérabilités, toutes les mesures de protection peuvent être vaines. Les hackers n’ont pas besoin de pénétrer directement le système central de la plateforme, il leur suffit de cibler le maillon faible de la chaîne d’approvisionnement. Ce mode d’attaque, connu sous le nom d’« attaque par la chaîne d’approvisionnement », est de plus en plus fréquent dans la cybersécurité, aussi bien dans la finance traditionnelle que dans la tech.

La majorité des membres du groupe de travail ont exprimé leur soutien à la proposition d’un nouveau système, appelant à une réglementation plus claire des actifs numériques. La forte unanimité témoigne de l’impact du cas DMM sur la régulation japonaise. Lorsqu’un seul incident entraîne une perte de 312 millions de dollars, il est légitime que les autorités prennent des mesures décisives pour combler les lacunes du système.

Contenu central du système d’enregistrement pour la garde de cryptomonnaies

La FSA prévoit d’imposer aux fournisseurs de services de garde et de gestion des transactions une obligation d’enregistrement auprès de l’autorité de régulation, en leur demandant de n’utiliser que des systèmes fournis par des entités enregistrées. L’objectif est de remédier aux vulnérabilités de sécurité pouvant entraîner des vols ou des défaillances systémiques. Le principe central de ce cadre est d’intégrer ces prestataires tiers dans le même régime réglementaire que les plateformes, afin d’éliminer les zones d’ombre réglementaires.

Le système d’enregistrement comprendra notamment :

• Normes de capital : assurer que les prestataires disposent de fonds suffisants pour couvrir d’éventuelles pertes, et pouvoir indemniser les clients en cas d’incident.
• Audits de sécurité : obligation de faire réaliser des audits indépendants réguliers, avec des rapports de tests de pénétration et d’examen de code, pour garantir la conformité aux standards minimaux de sécurité.
• Assurances : obligation de souscrire une assurance cybersécurité et une assurance pour les actifs en garde, afin de couvrir les pertes en cas d’attaque ou de défaillance.
• Normes techniques : réglementation sur la robustesse des algorithmes cryptographiques, la gestion des clés privées, les exigences de multi-signatures, la séparation des portefeuilles froids et chauds, etc.
• Rapports périodiques : soumission trimestrielle ou annuelle à la FSA, incluant la taille des actifs en garde, les incidents de sécurité, les mises à jour du système, etc.
• Sanctions : amendes, suspension d’activité, voire poursuites pénales pour les prestataires non enregistrés ou en infraction, ainsi que pour les plateformes utilisant ces services.

Cadre prévu pour l’enregistrement

• Capitaux : exigences minimales en capital initial et en fonds propres continus
• Audits : rapports annuels d’audit indépendant et tests de pénétration
• Assurances : couverture obligatoire par assurance cybersécurité et garde d’actifs
• Normes techniques : exigences en cryptographie, gestion des clés, multi-signatures
• Rapports réguliers : communication à la FSA sur la taille des actifs en garde et incidents
• Sanctions : amendes, suspension d’activité, poursuites pénales

Ce cadre réglementaire complet, s’il est mis en œuvre, ferait du Japon l’un des pays au monde avec la réglementation la plus stricte en matière de services de garde de cryptomonnaies. En comparaison, les États-Unis et l’Europe renforcent également leur cadre, mais se concentrent principalement sur les plateformes d’échange, laissant la régulation des services tiers plus souple.

Le rapport indique que la FSA prévoit de finaliser rapidement un rapport basé sur ces discussions, avec l’intention de présenter une proposition de modification de la loi sur les Instruments Financiers et les Marchés (FIEA) lors de la session parlementaire de 2026. Cela signifie que la nouvelle réglementation pourrait entrer en vigueur au second semestre 2026 ou début 2027. Le processus législatif, généralement de 12 à 18 mois, laissera aux acteurs actuels le temps de se préparer.

Impact en chaîne sur l’industrie mondiale de la garde de cryptomonnaies

Cette innovation réglementaire japonaise pourrait déclencher une réaction en chaîne à l’échelle mondiale. En tant que troisième marché mondial de la cryptomonnaie après les États-Unis et la Chine, le Japon sert souvent de modèle pour d’autres pays. Après le piratage de Coincheck en 2017, le cadre strict de régulation des échanges instauré au Japon a été adopté par la Corée du Sud, Singapour, et d’autres. La nouvelle réglementation concernant les services de garde tiers devrait également avoir un effet d’exemplarité.

Pour les fournisseurs mondiaux de services de garde, l’accès au marché japonais deviendra plus exigeant. Des petites sociétés comme Ginco, incapables de satisfaire aux exigences d’enregistrement, seront contraintes de quitter le marché ou d’investir massivement dans la conformité. Bien que cette élimination puisse augmenter les coûts à court terme, elle renforcera à long terme la professionnalisation et la sécurité du secteur.

Les grands acteurs internationaux comme BitGo, Fireblocks, qui disposent déjà de systèmes conformes en Europe et aux États-Unis, pourraient tirer parti de cette réforme pour renforcer leur position au Japon. Leur coût d’entrée sera relativement faible comparé à celui des petites structures sans ressources suffisantes. Les petits prestataires, en revanche, risquent de faire face à des difficultés de survie.

Pour les plateformes d’échange japonaises, cette réglementation obligera à réévaluer leurs arrangements de garde. Si leurs prestataires ne peuvent pas obtenir l’enregistrement, elles devront migrer leurs systèmes ou renégocier leurs contrats, avec un risque de perturbation. À long terme, cette normalisation renforcera la sécurité globale des échanges, en réduisant les pertes dues à des vulnérabilités tierces.

Par ailleurs, le ministère des Finances accélère également ses projets pour une monnaie stable locale. Le mois dernier, il a approuvé le lancement du JPYC, la première stablecoin japonaise indexée sur le yen, qui a rapidement été mise en circulation. La semaine dernière, il a annoncé soutenir un projet pilote impliquant trois grandes banques japonaises — Mizuho, Mitsubishi UFJ et Sumitomo Mitsui — pour le développement d’une stablecoin. Cette stratégie, combinant régulation stricte et innovation, montre que le Japon cherche à équilibrer sécurité et progrès.

Au niveau international, cette démarche pourrait devenir une norme. Bien que le cadre européen MiCA soit complet, ses exigences pour les services de garde tiers restent peu détaillées. La régulation américaine, fragmentée, varie selon les États. Si la réglementation japonaise prouve son efficacité, d’autres pays pourraient suivre, aboutissant à une norme globale pour la garde de cryptomonnaies.

Pour les acteurs du secteur, c’est une opportunité de se positionner en avance. Ceux qui réussiront à satisfaire rapidement aux exigences japonaises pourront non seulement conquérir le marché local, mais aussi bénéficier d’un avantage concurrentiel lors de futures réglementations similaires dans d’autres juridictions. Investir dans la sécurité, la conformité et l’assurance deviendra une stratégie gagnante dans un environnement de plus en plus réglementé.