Le Bitcoin victime de hackers sponsorisés par un État ?

Bitcoin.org, le site officiel de la crypto-monnaie, lance une alerte de sécurité. Une attaque de pirates probablement financés par un État pourrait cibler les fichiers binaires à venir pour Bitcoin Core.

Bitcoin.org a mis en ligne mercredi 17 août une alerte de sécurité. Le site de la crypto-monnaie craint que des « attaquants sponsorisés par un État » ne piratent les fichiers binaires bientôt proposés en téléchargement pour Bitcoin Core, le logiciel client de la monnaie électronique. Des pirates informatiques pourraient tenter de détourner ou de remplacer les fichiers originaux, sur le site officiel ou durant leur téléchargement par des utilisateurs.

Le Bitcoin Project dit ne pas avoir les ressources techniques nécessaires pour se défendre contre une telle attaque. Celle-ci permettrait aux pirates de siphonner les bitcoins de comptes utilisateurs. Les administrateurs redoutent également que les terminaux d’utilisateurs, une fois compromis, ne soient utilisés pour mener des attaques coordonnées contre l’ensemble du réseau Bitcoin. Il appellent donc la communauté d’utilisateurs, les utilisateurs chinois en particulier, à la plus grande vigilance.

Problème de certification

Des ingénieurs en sécurité ont commenté  l’alerte sur Hacker News. « Bitcoin.org n’implémente pas HPKP [HTTP Public Key Pinning, dispositif de sécurité pour éviter les attaques de type Man-in-the-middle avec des certificats contrefaits]. Tout gouvernement qui contrôle une autorité de certification [CA, Certificate authority] peut donc générer son propre certificat pour Bitcoin.org, détourner l’IP du site et remplacer cette page avec sa propre empreinte », explique Julien Vehent (Mozilla).

L’ingénieur réseau Jeremy L. Gaddis ajoute que « la Chine a une autorité de certification racine sous son contrôle ». Elle n’est pas la seule, les États-Unis et la France aussi.

Dans ce contexte, Bitcoin.org recommande aux membres de la communauté de télécharger la clé proposée par ses soins pour signer les fichiers binaires officiels. Le site les invite également à vérifier la signature et le hachage avant d’exécuter tout binaire de Bitcoin Core.

Lire aussi :

Bientôt un Bitcoin pour rémunérer les attaques DDoS ?

Craig Wright, père putatif du bitcoin, dépose massivement des brevets

Blockchain : Haro sur le hacker d’Ethereum

crédit photo © Nina-Lisa – Shutterstock.com