Cette faille de sécurité du Bitcoin était si grave que les développeurs ont gardé un secret absolu


mohamed_hassan / Pixabay

Le bogue majeur sur le de cette semaine était bien pire que ce que les développeurs nous avait indiqué. À l’origine, le bogue avait secoué le monde des bitcoins lorsqu’il avait été signalé que la vulnérabilité pouvait être utilisée pour arrêter une partie du réseau.

Une faille pouvant arrêter une partie du réseau Bitcoin

Bien que cela paraisse assez grave, il s’avère que les développeurs de ont gardé secrète une seconde partie du bogue. Comme indiqué dans un rapport officiel sur les  (CVE), un attaquant aurait pu l’utiliser pour créer un nouveau bitcoin, dépassant le cap fixe des 21 millions de pièces,  gonflant ainsi l’offre et dévaluant les bitcoins actuels.

Au pire, une telle perversion des règles obligerait les utilisateurs à ne plus faire confiance à cette . En raison des conséquences désastreuses du bogue, les développeurs ont décidé de garder le secret, en se donnant le temps de réparer la faille et en incitant les mineurs et les utilisateurs à mettre à jour leur logiciel.

Le rapport CVE écrit par les développeurs Bitcoin Core explique :

Afin d’encourager les mises à niveau rapides, il a été décidé de corriger immédiatement la vulnérabilité et de révéler la faille la moins grave, tout en retardant la publication de l’intégralité du problème pour donner du temps aux systèmes de se mettre à niveau.

Et pour l’instant, le plan semble avoir fonctionné. Plus de la moitié du réseau de minage du bitcoin a été mise à jour, ce qui signifie que l’attaque ne peut plus être utilisée et que les développeurs n’ont pas été alerté par une possible exploitation de la faille.

Qui a trouvé cette faille du Bitcoin ?

Le fait de trouver un bug aussi grave était une position stressante pour les développeurs. Selon le rapport, un utilisateur anonyme a initialement déposé un rapport CVE aux principaux développeurs de Bitcoin Core et de Bitcoin ABC, la principale implémentation logicielle de . Environ deux heures plus tard, l’ingénieur Chaincode et le développeur de Bitcoin Core, Matt Corallo, ont réalisé que le bogue aurait pu être exploité pour créer des Bitcoins en illimité.

Compte tenu de la gravité de la vulnérabilité, les développeurs ont décidé de garder le secret sur ces détails. Et à la place, en commençant par Slush Pool, ils ont commencé à pousser les mineurs à mettre à  jour leurs systèmes. Et ils ont dit la même chose aux utilisateurs de bitcoin qui lançaient un noeud complet.

Vous ne devriez lancer aucune version de Bitcoin Core autre que 0.16.3. Les anciennes versions ne devraient pas exister sur le réseau. Si vous connaissez quelqu’un qui exécute une version antérieure, dites-lui de le mettre à jour le plus vite possible selon un post sur le forum.

Pourtant, il y a un autre problème qui va débarquer, la possibilité d’une scission de chaîne bitcoin. Étant donné que les utilisateurs exécutent désormais différentes versions du logiciel Bitcoin, le réseau risque de se scinder temporairement en deux, puis de se regrouper à nouveau. Les transactions sur la chaîne exécutant un ancien logiciel pourraient alors être perdues.

Alors que la situation est surveillée de près, Theymos pense que le risque est faible. Mais il estime que les gens devraient toujours prendre des précautions, comme attendre plus longtemps pour s’assurer qu’une transaction Bitcoin est réellement vérifiée. Theymos a ajouté:

Pour la prochaine semaine, vous devriez considérer qu’une transaction avec moins de 200 confirmations pourrait être annulée même si la probabilité est faible.

La possibilité de créer un faux bitcoin ?

Mais certains utilisateurs veulent savoir s’il est possible que le bogue ait déjà été exploité. Comment pouvons-nous savoir si cette vulnérabilité n’a pas encore été exploitée et qu’il n’y a pas quelqu’un avec un tas de faux bitcoins ?  a demandé un utilisateur de bitcoin. Heureusement, le contributeur Bitcoin Core Pieter Wuille a expliqué qu’en raison du code, les utilisateurs de bitcoin auraient détecté une activité suspecte.

Lorsqu’ils sont téléchargés pour la première fois, les noeuds complets vérifient chaque transaction effectuée dans l’historique de Bitcoin. Un noeud, exécutant le nouveau logiciel 0.16.3, détectera immédiatement le problème. Malgré cela, des questions demeurent quant à ce qui se serait passé si le bug n’était pas détecté à temps.

Selon Theymos: Même si le bogue avait été pleinement exploité, les dommages théoriques aux fonds stockés auraient été annulés. Theymos a poursuivi en disant que le retour en arrière ressemblerait beaucoup à ce qui s’est passé lors de ce que l’on appelle l’incident de dépassement de valeur en 2010 lorsque 187 milliards de bitcoins ont été créés à partir de rien mais ont finalement été détruits. Toutefois, alors que Bitcoin Core, et plusieurs autres cryptomonnaies basées sur le code de Bitcoin Core ont publié un correctif pour la faille, d’autres ne l’ont pas encore fait et pourraient donc toujours être vulnérables à ce bogue qui permet de créer des faux Bitcoins.

Je ricane envers ceux qui prétendaient montrer la robustesse du Bitcoin. Car la faille la moins grave permettait de faire sautr la moitié du réseau et la seconde permettait de créer des faux Bitcoins. Et encore, c’est un utilisateur anonyme qui a révélé le bouzin.

Source : CoinDesk

N'oubliez pas de voter pour cet article !
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Houssen Moshinaly

Rédacteur web depuis 2009 et journaliste scientifique. Je suis également un blogueur dans la vulgarisation scientifique et la culture.

Je m'intéresse à des sujets comme les cryptomonnaie, l'activisme, mais également la politique. Je touche à tout et je le partage via mes blogs et mes réseaux.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *