Bitcoin.org a mis en ligne mercredi 17 août une alerte de sécurité. Le site de la crypto-monnaie craint que des « attaquants sponsorisés par un État » ne piratent les fichiers binaires bientôt proposés en téléchargement pour Bitcoin Core, le logiciel client de la monnaie électronique. Des pirates informatiques pourraient tenter de détourner ou de remplacer les fichiers originaux, sur le site officiel ou durant leur téléchargement par des utilisateurs.
Le Bitcoin Project dit ne pas avoir les ressources techniques nécessaires pour se défendre contre une telle attaque. Celle-ci permettrait aux pirates de siphonner les bitcoins de comptes utilisateurs. Les administrateurs redoutent également que les terminaux d’utilisateurs, une fois compromis, ne soient utilisés pour mener des attaques coordonnées contre l’ensemble du réseau Bitcoin. Il appellent donc la communauté d’utilisateurs, les utilisateurs chinois en particulier, à la plus grande vigilance.
Des ingénieurs en sécurité ont commenté l’alerte sur Hacker News. « Bitcoin.org n’implémente pas HPKP [HTTP Public Key Pinning, dispositif de sécurité pour éviter les attaques de type Man-in-the-middle avec des certificats contrefaits]. Tout gouvernement qui contrôle une autorité de certification [CA, Certificate authority] peut donc générer son propre certificat pour Bitcoin.org, détourner l’IP du site et remplacer cette page avec sa propre empreinte », explique Julien Vehent (Mozilla).
L’ingénieur réseau Jeremy L. Gaddis ajoute que « la Chine a une autorité de certification racine sous son contrôle ». Elle n’est pas la seule, les États-Unis et la France aussi.
Dans ce contexte, Bitcoin.org recommande aux membres de la communauté de télécharger la clé proposée par ses soins pour signer les fichiers binaires officiels. Le site les invite également à vérifier la signature et le hachage avant d’exécuter tout binaire de Bitcoin Core.
Lire aussi :
Bientôt un Bitcoin pour rémunérer les attaques DDoS ?
Craig Wright, père putatif du bitcoin, dépose massivement des brevets
Blockchain : Haro sur le hacker d’Ethereum
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…