Bitcoin.org a mis en ligne mercredi 17 août une alerte de sécurité. Le site de la crypto-monnaie craint que des « attaquants sponsorisés par un État » ne piratent les fichiers binaires bientôt proposés en téléchargement pour Bitcoin Core, le logiciel client de la monnaie électronique. Des pirates informatiques pourraient tenter de détourner ou de remplacer les fichiers originaux, sur le site officiel ou durant leur téléchargement par des utilisateurs.
Le Bitcoin Project dit ne pas avoir les ressources techniques nécessaires pour se défendre contre une telle attaque. Celle-ci permettrait aux pirates de siphonner les bitcoins de comptes utilisateurs. Les administrateurs redoutent également que les terminaux d’utilisateurs, une fois compromis, ne soient utilisés pour mener des attaques coordonnées contre l’ensemble du réseau Bitcoin. Il appellent donc la communauté d’utilisateurs, les utilisateurs chinois en particulier, à la plus grande vigilance.
Des ingénieurs en sécurité ont commenté l’alerte sur Hacker News. « Bitcoin.org n’implémente pas HPKP [HTTP Public Key Pinning, dispositif de sécurité pour éviter les attaques de type Man-in-the-middle avec des certificats contrefaits]. Tout gouvernement qui contrôle une autorité de certification [CA, Certificate authority] peut donc générer son propre certificat pour Bitcoin.org, détourner l’IP du site et remplacer cette page avec sa propre empreinte », explique Julien Vehent (Mozilla).
L’ingénieur réseau Jeremy L. Gaddis ajoute que « la Chine a une autorité de certification racine sous son contrôle ». Elle n’est pas la seule, les États-Unis et la France aussi.
Dans ce contexte, Bitcoin.org recommande aux membres de la communauté de télécharger la clé proposée par ses soins pour signer les fichiers binaires officiels. Le site les invite également à vérifier la signature et le hachage avant d’exécuter tout binaire de Bitcoin Core.
Lire aussi :
Bientôt un Bitcoin pour rémunérer les attaques DDoS ?
Craig Wright, père putatif du bitcoin, dépose massivement des brevets
Blockchain : Haro sur le hacker d’Ethereum
De Jess Bezos (Amazon) à David Duffield (Workday), voici la liste Fobres des 20 personnalités…
Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…
Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…
Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…
Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…
Chiffrement, recherche, déréférencement, objets connectés, assistant vocal, bureautique... Bilan de la Google I/O 2022 en…