Les développeurs de Bitcoin Core adoptent une nouvelle politique de sécurité pour limiter l'utilisation de logiciels obsolètes

Points clés à retenir

• Environ 6 % des nœuds Bitcoin exécutent des logiciels obsolètes, les exposant ainsi à des risques de sécurité
• La nouvelle politique de divulgation de Bitcoin Core vise à améliorer la sécurité du réseau grâce à la transparence

Partagez cet article

Tout au long de leur historique de validation, les développeurs de Bitcoin Core n'ont révélé que 10 vulnérabilités qui pourraient affecter les anciennes versions du logiciel client Bitcoin. Selon un rapport de Bitcoin Optech, ces vulnérabilités, bien que déjà corrigées dans des versions plus récentes, auraient pu permettre diverses attaques sur des nœuds exécutant des versions obsolètes de Bitcoin Core.Ce rapport intervient alors que les développeurs ont introduit une nouvelle politique de divulgation de sécurité pour améliorer la transparence et la communication entre l'équipe et les utilisateurs publics de Bitcoin.

« Le projet a toujours fait un travail médiocre en matière de divulgation publique des bugs critiques pour la sécurité, qu'ils soient signalés en externe ou trouvés par des contributeurs. Cela a conduit à une situation où de nombreux utilisateurs ont l'impression que Bitcoin Core n'a jamais eu de bugs. Cette perception est dangereuse et, malheureusement, inexacte », indique l'annonce, rédigée par Antoine Poinsot pour la liste de diffusion Bitcoin Development.

Selon une analyse rédigée par Liam Wright de CryptoSlate, environ 787 nœuds, soit 5,94 % des 14 001 nœuds Bitcoin actifs, exécutent des versions antérieures à 0.21.0, ce qui les rend vulnérables à certaines vulnérabilités. La vulnérabilité la plus répandue affecte les versions antérieures à 0.21.0, ce qui permet potentiellement de censurer les transactions non confirmées et de provoquer des divisions de réseau en raison d'ajustements de temps excessifs.D'autres vulnérabilités importantes incluent une liste d'interdiction non liée de déni de service CPU/mémoire (CVE-2020-14198) affectant 185 nœuds exécutant des versions antérieures à 0.20.1, et trois vulnérabilités distinctes affectant 182 nœuds chacune dans les versions antérieures à 0.20.0. Il s'agit notamment de déni de service mémoire provenant de messages d'inv volumineux, de déni de service entraînant une perte de CPU due à des requêtes mal formées et de plantages liés à la mémoire lors de l'analyse des URI BIP72.Les vulnérabilités les plus anciennes révélées remontent à 2015 et n'affectent que très peu de nœuds exécutant des logiciels aussi obsolètes. Il s'agit notamment d'un bug d'exécution de code à distance dans miniupnpc (CVE-2015-6031) et d'un déni de service de plantage de nœud à partir de messages volumineux (CVE-2015-3641), affectant respectivement 22 et 5 nœuds.

Le nouveau système de divulgation classe les vulnérabilités en quatre niveaux de gravité et définit des délais spécifiques de divulgation en fonction de la gravité. Cette initiative vise à définir des attentes claires pour les chercheurs en sécurité et à encourager une divulgation responsable des vulnérabilités.Bien que le pourcentage de nœuds vulnérables ne soit pas un problème critique immédiat, il représente une partie non négligeable du réseau qui pourrait être exploitée. Cette divulgation, en particulier, souligne la nécessité d'une meilleure communication et de mesures incitatives au sein de la communauté Bitcoin pour encourager des mises à jour logicielles plus fréquentes et améliorer la sécurité globale du réseau. En particulier, les bugs critiques nécessiteront une procédure ad hoc.Cette adoption progressive commencera par la divulgation des vulnérabilités corrigées dans les versions 0.21.0 et antérieures de Bitcoin Core, suivies de celles corrigées dans les versions ultérieures au cours des prochains mois. La politique vise à définir des attentes claires pour les chercheurs en sécurité et à encourager une divulgation responsable.

Partagez cet article