Bitcoin Core annonce une nouvelle politique de divulgation de sécurité

Il y a 2 ans Jonathan Christiani

Un groupe de développeurs de Bitcoin Core a introduit une politique complète de divulgation de sécurité pour remédier aux lacunes passées dans la publication des bogues critiques pour la sécurité.Cette nouvelle politique vise à établir un processus standardisé de signalement et de divulgation des vulnérabilités, améliorant ainsi la transparence et la sécurité au sein de l'écosystème Bitcoin.Plusieurs vulnérabilités jusqu’alors non divulguées sont également incluses dans l’annonce.

Qu’est-ce qu’une divulgation de sécurité?

Une divulgation de sécurité est un processus par lequel des chercheurs en sécurité ou des pirates informatiques éthiques signalent à l'organisation concernée les vulnérabilités qu'ils découvrent dans les logiciels ou les systèmes. L'objectif est de permettre à l'organisation de remédier à ces vulnérabilités avant qu'elles ne soient exploitées par des acteurs malveillants. Ce processus implique généralement la découverte de la vulnérabilité, son signalement confidentiel, la vérification de son existence, le développement d'un correctif et enfin, la divulgation publique de la vulnérabilité ainsi que des détails et des conseils d'atténuation.

Les utilisateurs devraient-ils s’inquiéter ?

Les dernières révélations de sécurité de Bitcoin Core concernent diverses vulnérabilités de gravité variable. Les principaux problèmes incluent de multiples vulnérabilités par déni de service (DoS) qui pourraient provoquer des interruptions de service, une faille d'exécution de code à distance (RCE) dans la bibliothèque miniUPnPc, des bogues de gestion des transactions qui pourraient conduire à une censure ou à une mauvaise gestion des transactions orphelines, et des vulnérabilités réseau telles que l'explosion de la mémoire tampon et le dépassement d'horodatage entraînant des divisions du réseau. Aucune de ces vulnérabilités ne semble constituer un risque critique pour le réseau Bitcoin. Quoi qu'il en soit, les utilisateurs sont vivement encouragés à s'assurer que leur logiciel est à jour.Pour des informations détaillées, consultez les commits sur GitHub : Bitcoin Core Security Disclosures.

Améliorer le processus de divulgation

La nouvelle politique de Bitcoin Core classe les vulnérabilités en quatre niveaux de gravité : faible, moyen, élevé et critique.

  • Faible gravité : bugs difficiles à exploiter ou ayant un impact minimal. Ceux-ci seront divulgués deux semaines après la publication d'un correctif
  • Gravité moyenne et élevée : bugs ayant un impact significatif ou une facilité d'exploitation modérée. Ceux-ci seront divulgués un an après la fin de vie de la dernière version concernée
  • Gravité critique : les bugs qui menacent l'intégrité de l'ensemble du réseau, tels que les vulnérabilités liées à l'inflation ou au vol de pièces, seront traités avec des procédures ad hoc en raison de leur nature grave

Cette politique vise à assurer un suivi cohérent et des processus de divulgation standardisés, encourageant ainsi la production de rapports responsables et permettant à la communauté de résoudre rapidement les problèmes.

Historique des divulgations de CVE dans Bitcoin

Au fil des ans, Bitcoin a connu plusieurs problèmes de sécurité notables, appelés CVE (Common Vulnerabilities and Exposures). Ces incidents soulignent l'importance de pratiques de sécurité vigilantes et de mises à jour en temps opportun. Voici quelques exemples clés :CVE-2012-2459 : ce bug critique pouvait provoquer des problèmes de réseau en permettant aux attaquants de créer des blocs non valides qui semblaient valides, divisant ainsi potentiellement le réseau Bitcoin de manière temporaire. Il a été corrigé dans la version 0.6.1 de Bitcoin Core et a motivé de nouvelles améliorations des protocoles de sécurité de Bitcoin.CVE-2018-17144 : un bug critique aurait pu permettre à des attaquants de créer des bitcoins supplémentaires, en violation du principe d'approvisionnement fixe. Ce problème a été découvert et corrigé en septembre 2018. Les utilisateurs devaient mettre à jour leur logiciel pour éviter toute exploitation potentielle. De plus, la communauté Bitcoin a discuté de diverses autres vulnérabilités et correctifs potentiels qui n’ont pas encore été mis en œuvre. CVE-2013-2292 : En créant des blocs dont la vérification prend beaucoup de temps, un attaquant pourrait ralentir considérablement le réseau.CVE-2017-12842 : cette vulnérabilité peut tromper les portefeuilles Bitcoin légers en leur faisant croire qu'ils ont reçu un paiement alors que ce n'est pas le cas. Cela constitue un risque pour les clients SPV (Simplified Payment Verification). Les discussions autour de ces vulnérabilités soulignent la nécessité constante de mises à jour coordonnées et soutenues par la communauté du protocole Bitcoin. Les recherches en cours autour de l'idée d'un soft fork de nettoyage par consensus visent à traiter les vulnérabilités latentes de manière unifiée et efficace, garantissant ainsi la robustesse et la sécurité continues du réseau Bitcoin.Le maintien de la sécurité des logiciels est un processus dynamique qui nécessite une vigilance et des mises à jour continues. Cela rejoint le débat plus large sur l’ossification du Bitcoin, où le protocole de base reste inchangé pour maintenir la stabilité et la confiance. Alors que certains prônent des changements minimes pour éviter les risques, d’autres soutiennent que des mises à jour occasionnelles sont nécessaires pour améliorer la sécurité et les fonctionnalités. Cette nouvelle politique de divulgation de Bitcoin Core est un pas vers l’équilibre entre ces perspectives en garantissant que toutes les mises à jour nécessaires sont bien communiquées et gérées de manière responsable.

Tags: ,
You may have missed
SBI Holdings a-t-il réellement acquis pour 10 milliards de dollars de XRP ? Le PDG dévoile le montant exact.
Il y a 3 mois Jonathan Christiani
Les actions de Shopify (SHOP) chutent de 11 % malgré des bénéfices élevés. Est-ce le moment d'investir ?
Il y a 3 mois Jonathan Christiani
IA chez Kraken Compliance : automatiser les tâches courantes pour améliorer l'analyse critique
Il y a 3 mois Jérémie Levy
Scott Melker : un retournement soudain du Bitcoin pourrait surprendre les investisseurs
Il y a 3 mois Jonathan Christiani
« Portefeuille Bitcoin de l’ère Satoshi : 2 milliards de dollars en BTC achetés – Que sait-on ? »
Il y a 3 mois Jérémie Levy
bitcoin
Bitcoin (BTC) $ 76,474.00 1.99%
ethereum
Ethereum (ETH) $ 2,106.97 3.56%
tether
Tether (USDT) $ 0.999244 0.03%
bnb
BNB (BNB) $ 636.95 2.34%
xrp
XRP (XRP) $ 1.38 2.60%
usd-coin
USDC (USDC) $ 0.99977 0.00%
solana
Solana (SOL) $ 84.21 2.61%
tron
TRON (TRX) $ 0.354585 0.70%
figure-heloc
Figure Heloc (FIGR_HELOC) $ 1.01 0.00%
staked-ether
Lido Staked Ether (STETH) $ 2,265.05 3.46%
dogecoin
Dogecoin (DOGE) $ 0.103874 5.86%
whitebit
WhiteBIT Coin (WBT) $ 56.32 2.16%
usds
USDS (USDS) $ 0.99967 0.00%
hyperliquid
Hyperliquid (HYPE) $ 44.96 2.60%
leo-token
LEO Token (LEO) $ 10.06 0.46%
cardano
Cardano (ADA) $ 0.248136 2.72%
wrapped-steth
Wrapped stETH (WSTETH) $ 2,779.67 3.22%
zcash
Zcash (ZEC) $ 531.38 3.14%
bitcoin-cash
Bitcoin Cash (BCH) $ 369.76 10.35%
wrapped-bitcoin
Wrapped Bitcoin (WBTC) $ 76,243.00 3.12%
monero
Monero (XMR) $ 380.13 4.01%
binance-bridged-usdt-bnb-smart-chain
Binance Bridged USDT (BNB Smart Chain) (BSC-USD) $ 0.998762 0.02%
chainlink
Chainlink (LINK) $ 9.43 2.92%
wrapped-beacon-eth
Wrapped Beacon ETH (WBETH) $ 2,466.93 3.47%
canton-network
Canton (CC) $ 0.15002 2.34%
the-open-network
Toncoin (TON) $ 1.93 0.37%
stellar
Stellar (XLM) $ 0.146136 3.24%
wrapped-eeth
Wrapped eETH (WEETH) $ 2,465.31 3.39%
usd1-wlfi
USD1 (USD1) $ 0.999649 0.05%
dai
Dai (DAI) $ 0.999715 0.01%
susds
sUSDS (SUSDS) $ 1.08 0.16%
ethena-usde
Ethena USDe (USDE) $ 0.999436 0.04%
memecore
MemeCore (M) $ 3.17 0.28%
sui
Sui (SUI) $ 1.03 3.14%
coinbase-wrapped-btc
Coinbase Wrapped BTC (CBBTC) $ 76,366.00 3.12%
litecoin
Litecoin (LTC) $ 53.51 4.33%
avalanche-2
Avalanche (AVAX) $ 9.09 2.31%
hedera-hashgraph
Hedera (HBAR) $ 0.088891 2.27%
weth
WETH (WETH) $ 2,268.37 3.40%
rain
Rain (RAIN) $ 0.007343 2.29%
paypal-usd
PayPal USD (PYUSD) $ 0.999859 0.00%
shiba-inu
Shiba Inu (SHIB) $ 0.000006 2.45%
usdt0
USDT0 (USDT0) $ 0.998824 0.03%
crypto-com-chain
Cronos (CRO) $ 0.068897 3.04%
hashnote-usyc
Circle USYC (USYC) $ 1.12 0.01%
global-dollar
Global Dollar (USDG) $ 0.999546 0.03%
tether-gold
Tether Gold (XAUT) $ 4,539.29 0.01%
blackrock-usd-institutional-digital-liquidity-fund
BlackRock USD Institutional Digital Liquidity Fund (BUIDL) $ 1.00 0.00%
bittensor
Bittensor (TAO) $ 258.01 4.69%
uniswap
Uniswap (UNI) $ 3.39 4.89%