Finst

Hong Kong interdit les connexions par SMS et e-mail sur les plateformes cryptos

La SFC veut endiguer le phishing et les prises de contrôle de comptes après une année record d’incidents de cybersécurité. Les plateformes doivent adopter les passkeys et d’autres méthodes de connexion résistantes au phishing.

Hong Kong interdit les connexions par SMS et e-mail sur les plateformes cryptos

À retenir

  • Le régulateur hongkongais SFC interdit les connexions OTP par SMS, e-mail et applications pour les plateformes cryptos et les courtiers en ligne.
  • Les plateformes doivent passer aux passkeys et à d’autres méthodes résistantes au phishing ; les grands courtiers doivent le faire immédiatement.
  • La mesure fait suite à 15.877 incidents de cybersécurité à Hong Kong en 2025, dont 57% relevaient du phishing.

Le régulateur hongkongais SFC met fin aux connexions par mot de passe à usage unique via SMS, e-mail et applications pour les plateformes cryptos et les courtiers en ligne. L’objectif est clair : réduire l’exposition au phishing après une année record d’incidents de cybersécurité dans la région. Les acteurs concernés devront adopter des passkeys et d’autres méthodes de connexion résistantes au phishing, tandis que les grands courtiers sont tenus de s’y conformer sans délai.

Règles de connexion plus strictes

Pour formaliser ce durcissement, la Securities and Futures Commission a publié une circulaire. Le texte précise que les prestataires doivent lier les connexions des clients à l’appareil utilisé et signaler activement les tentatives de connexion suspectes, les trades et les retraits. Les clients devront aussi être avertis plus rapidement des événements importants touchant leur compte.

Selon le régulateur, les entreprises disposent de 12 mois pour se mettre en conformité avec ces nouvelles exigences. Les grands courtiers, eux, sont soumis à une conformité immédiate. La SFC avait déjà alerté en février 2025 sur les risques associés aux connexions OTP, mais cette recommandation devient désormais une obligation.

Le phishing à l’origine de la mesure

Cette décision intervient après 15.877 incidents de cybersécurité à Hong Kong en 2025, soit une progression de 27% sur un an. Le phishing représentait 57% des cas. Les botnets comptaient pour 18% et les malwares pour 15%. En 2023, le total n’était encore que de 7.752 incidents.

Le régulateur relie cette hausse à une pression plus large sur le secteur de la crypto. À l’échelle mondiale, les pertes liées au phishing autour des wallets crypto ont atteint environ 306 millions de dollars au premier trimestre 2026, soit 268 millions d'euros. La SFC souligne par ailleurs que les attaquants s’appuient de plus en plus sur des identifiants volés plutôt que sur des hacks techniques.

Ce que cela signifie pour la crypto

Pour les lecteurs européens de crypto, le point essentiel est que Hong Kong fait désormais peser la responsabilité de manière explicite sur le prestataire. La SFC estime que la direction générale peut être tenue directement responsable des pertes subies par les clients si la sécurité est jugée insuffisante. Cette approche s’inscrit dans une tendance internationale plus large, où les régulateurs renforcent la lutte contre le phishing et les prises de contrôle de comptes.

Le régulateur hongkongais a aussi déjà fait inscrire sur liste noire des sites frauduleux se faisant passer pour des plateformes d'échange crypto agréées. Cela montre que l’enjeu dépasse la seule sécurité des connexions et s’étend à une défense plus large contre les arnaques et les abus liés aux plateformes de trading.


Avertissement: Ce contenu est fourni uniquement à des fins informatives et ne constitue pas un conseil financier, en investissement, juridique ou fiscal. Les informations fournies peuvent être incomplètes, inexactes ou obsolètes et ne doivent pas être considérées comme telles. Aucune information sur ce site web ne doit etre considerée comme une recommandation d'acheter, de vendre ou de conserver une cryptomonnaie. Investir en crypto-actifs comporte un risque de perte.