Bitcoin.org a mis en ligne mercredi 17 août une alerte de sécurité. Le site de la crypto-monnaie craint que des « attaquants sponsorisés par un État » ne piratent les fichiers binaires bientôt proposés en téléchargement pour Bitcoin Core, le logiciel client de la monnaie électronique. Des pirates informatiques pourraient tenter de détourner ou de remplacer les fichiers originaux, sur le site officiel ou durant leur téléchargement par des utilisateurs.
Le Bitcoin Project dit ne pas avoir les ressources techniques nécessaires pour se défendre contre une telle attaque. Celle-ci permettrait aux pirates de siphonner les bitcoins de comptes utilisateurs. Les administrateurs redoutent également que les terminaux d’utilisateurs, une fois compromis, ne soient utilisés pour mener des attaques coordonnées contre l’ensemble du réseau Bitcoin. Il appellent donc la communauté d’utilisateurs, les utilisateurs chinois en particulier, à la plus grande vigilance.
Des ingénieurs en sécurité ont commenté l’alerte sur Hacker News. « Bitcoin.org n’implémente pas HPKP [HTTP Public Key Pinning, dispositif de sécurité pour éviter les attaques de type Man-in-the-middle avec des certificats contrefaits]. Tout gouvernement qui contrôle une autorité de certification [CA, Certificate authority] peut donc générer son propre certificat pour Bitcoin.org, détourner l’IP du site et remplacer cette page avec sa propre empreinte », explique Julien Vehent (Mozilla).
L’ingénieur réseau Jeremy L. Gaddis ajoute que « la Chine a une autorité de certification racine sous son contrôle ». Elle n’est pas la seule, les États-Unis et la France aussi.
Dans ce contexte, Bitcoin.org recommande aux membres de la communauté de télécharger la clé proposée par ses soins pour signer les fichiers binaires officiels. Le site les invite également à vérifier la signature et le hachage avant d’exécuter tout binaire de Bitcoin Core.
Lire aussi :
Bientôt un Bitcoin pour rémunérer les attaques DDoS ?
Craig Wright, père putatif du bitcoin, dépose massivement des brevets
Blockchain : Haro sur le hacker d’Ethereum
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…