Bitcoin Core introduit une nouvelle politique de divulgation de la sécurité

Les responsables de la mise en œuvre du logiciel principal de Bitcoin ont annoncé une nouvelle politique de divulgation de la sécurité afin d'améliorer la communication sur les problèmes de sécurité.

Cette politique vise à créer une procédure normalisée pour signaler et révéler les vulnérabilités, afin d'accroître la transparence et la sécurité au sein de la communauté Bitcoin.

L'annonce porte également sur plusieurs vulnérabilités qui n'avaient pas été divulguées auparavant.

‍

Comprendre la divulgation de la sécurité

Une divulgation de sécurité implique que des chercheurs en sécurité ou des pirates éthiques informent l'organisation concernée des vulnérabilités qu'ils ont identifiées dans des logiciels ou des systèmes. L'objectif est de permettre à l'organisation de corriger ces vulnérabilités avant qu'elles ne soient exploitées par des acteurs malveillants. Le processus consiste généralement à découvrir la vulnérabilité, à la signaler de manière confidentielle, à la vérifier, à mettre au point un correctif et, enfin, à la divulguer publiquement, accompagnée de conseils pour l'atténuer.

‍

Les utilisateurs doivent-ils s'inquiéter ?

Les dernières divulgations de Bitcoin Core concernent diverses vulnérabilités avec différents niveaux de gravité. Les principaux problèmes concernent de multiples vulnérabilités de déni de service (DoS) qui pourraient perturber les services, une faille d'exécution de code à distance (RCE) dans la bibliothèque miniUPnPc, des bogues dans le traitement des transactions qui pourraient entraîner une censure ou un mauvais traitement des transactions orphelines, et des vulnérabilités de réseau telles que le dépassement de la mémoire tampon et le dépassement de l'horodatage qui pourraient provoquer des scissions de réseau.

Aucune de ces vulnérabilités n'est considérée comme posant un risque critique pour le réseau Bitcoin à l'heure actuelle. Toutefois, il est vivement conseillé aux utilisateurs de mettre à jour leurs logiciels.

Pour plus d'informations, consultez les modifications sur GitHub : Bitcoin Core Security Disclosures (en anglais).

‍

Améliorer le processus de divulgation

La nouvelle politique de Bitcoin Core classe les vulnérabilités en quatre niveaux de gravité : Faible, Moyen, Élevé et Critique.

• Faible gravité : Il s'agit de bogues difficiles à exploiter ou dont l'impact est minime. Ils seront divulgués deux semaines après la publication d'un correctif.

• Gravité moyenne et élevée : Il s'agit de bogues ayant un impact significatif ou une facilité d'exploitation modérée. Ils seront divulgués un an après.

• Gravité critique : Les bogues qui mettent en péril l'intégrité de l'ensemble du réseau, tels que ceux qui provoquent l'inflation ou le vol de pièces, seront gérés au moyen de procédures ad hoc en raison de leur gravité.

Cette politique vise à assurer un suivi cohérent et des processus de divulgation normalisés, à promouvoir une communication responsable et à permettre à la communauté de traiter rapidement les problèmes.

‍

Historique des divulgations de CVE dans Bitcoin

Au fil des ans, Bitcoin a rencontré plusieurs problèmes de sécurité importants, connus sous le nom de CVE (Common Vulnerabilities and Exposures). Ces incidents soulignent l'importance de maintenir des pratiques de sécurité vigilantes et de mettre en œuvre des mises à jour en temps utile. Voici quelques exemples notables :

• CVE-2012-2459: Ce bogue critique pouvait causer des problèmes de réseau en permettant à des attaquants de créer des blocs invalides qui semblaient valides, ce qui pouvait diviser temporairement le réseau Bitcoin. Il a été corrigé dans la version 0.6.1 de Bitcoin Core et a permis d'améliorer les protocoles de sécurité de Bitcoin.

• CVE-2018-17144t: Un bug critique qui aurait pu permettre à des attaquants de créer des Bitcoins supplémentaires, violant le principe d'approvisionnement fixe. Ce problème a été identifié et résolu en septembre 2018. Les utilisateurs ont été invités à mettre à jour leur logiciel pour empêcher une exploitation potentielle.

En outre, la communauté Bitcoin a examiné diverses autres vulnérabilités et des correctifs potentiels qui n'ont pas encore été mis en œuvre.

• CVE-2013-2292: Un attaquant pourrait ralentir significativement le réseau en créant des blocs dont la vérification prend beaucoup de temps.

• CVE-2017-12842: Cette vulnérabilité peut tromper les portefeuilles Bitcoin légers en leur faisant croire qu'ils ont reçu un paiement alors que ce n'est pas le cas, ce qui présente un risque pour les clients SPV (Simplified Payment Verification).

‍

Ces discussions soulignent la nécessité de mettre à jour le protocole Bitcoin de manière coordonnée et avec le soutien de la communauté. Les recherches en cours autour d'un soft fork de nettoyage par consensus visent à traiter les vulnérabilités latentes de manière unifiée et efficace, afin de garantir la robustesse et la sécurité du réseau Bitcoin.

Garantir la sécurité des logiciels est un effort permanent qui exige une surveillance et des mises à jour continues. Cela recoupe le débat plus large sur l'ossification du bitcoin, où le maintien du protocole de base inchangé est considéré comme essentiel pour la stabilité et la confiance. Certains sont favorables à des changements minimes pour atténuer les risques, tandis que d'autres estiment que des mises à jour périodiques sont nécessaires pour améliorer la sécurité et la fonctionnalité.

La nouvelle politique de divulgation de Bitcoin Core cherche à équilibrer ces points de vue en garantissant que toutes les mises à jour essentielles sont communiquées efficacement et gérées de manière responsable.

‍