• Le piratage informatique est un élément crucial de la cybersécurité, mais il peut susciter des controverses, comme l'illustre récemment le différend entre CertiK et Kraken.

Le White Hat Hacking, ou piratage éthique, est un élément crucial de la cybersécurité. C’est le piratage qui permet aux « bons » d’analyser les applications, de signaler les vulnérabilités de sécurité aux fournisseurs et d’utiliser les informations pour améliorer la sécurité de l’écosystème. 

Ce n’est pas un concept unique dans la blockchain. il existe dans des domaines tels que le cloud, l'intelligence artificielle, la sécurité des systèmes d'exploitation et bien plus encore. 

Cependant, dans tous les cas, les fournisseurs et les chercheurs en sécurité ont créé une relation délicate mais puissante basée sur un équilibre de confiance.

Dans le domaine de la blockchain, des auditeurs tels que Trail of Bits, Halborn et Open Zeppelin analysent et réparent divers contrats intelligents depuis des années et ont opéré avec le plus grand professionnalisme, créant ainsi un fort sentiment de confiance.

Le différend entre CertiK et Kraken

Le 17 mai, des chercheurs de CertiK ont découvert une vulnérabilité dans le mécanisme de calcul du solde et de dépôt de Digital Asset Exchange de Kraken. 

CertiK a récemment identifié une série de vulnérabilités critiques dans l'échange @krakenfx qui pourraient potentiellement entraîner des centaines de millions de dollars de pertes.

À partir d'une découverte dans le système de dépôt de @krakenfx où il peut ne pas faire la différence entre les différents internes… pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK) 19 juin 2024

L'équipe de sécurité de Kraken a défini à juste titre ce problème comme étant critique et a signalé qu'il avait été résolu en 47 minutes.

Bien qu'apparemment innocent au premier abord, ce type de vulnérabilité permet aux attaquants de « doubler leurs dépenses », ce qui signifie qu'ils ont la possibilité de simuler un dépôt sur la plateforme d'échange. 

Une fois que leur solde sur la bourse est mis à jour par erreur, ils se retournent et retirent le même montant. 

Cet acte supprime l’argent du portefeuille de trésorerie principal de la bourse (ce que la majorité des bourses centralisées utilisent pour gérer les fonds de garde, à l’instar des banques).

CertiK a également publié la liste des fausses transactions de dépôt, exploitant la vulnérabilité au moins 20 fois en cinq jours, tout en affirmant qu'il ne faisait que tester les mécanismes de détection de Kraken.

Après avoir obtenu une preuve de concept fonctionnelle, les chercheurs de CertiK auraient dû signaler le problème immédiatement à Kraken et mettre fin à toute exploitation ultérieure de la vulnérabilité. 

Néanmoins, depuis l'incident, tous les fonds prélevés lors de ces soi-disant « tests » ont été restitués à Kraken, à l'exception d'une petite somme perdue en frais.

Un cadre pour le piratage éthique

Le piratage du chapeau blanc est délicat.

L’objectif est d’améliorer la sécurité des applications, en garantissant la confiance et la transparence sans mettre en péril l’activité du fournisseur.

Cependant, la vérité sous-jacente est que les hackers au chapeau blanc sont souvent axés sur les relations publiques et, avec de mauvaises motivations, viseront les gros titres les plus audacieux. 

Par exemple, « CertiK a réussi à prendre 3 millions de dollars à Kraken sans que personne ne s'en aperçoive » est un titre beaucoup plus intrigant que « Les chercheurs ont trouvé un bug critique dans Kraken et ont économisé des millions de dollars ».

C’est là que la tension devient vive. Les chercheurs éthiques doivent rendre compte de leurs conclusions dès que possible et disposer de la preuve de concept la plus simple possible afin que les activités du fournisseur ne soient pas perturbées. 

La seule exception est lorsque le fournisseur invite les chercheurs à effectuer des tests d'intrusion, auquel cas ils se seront mis d'accord sur la portée des tests et le code de conduite.

Malheureusement, cela n'a pas été le cas ici, car les tests d'intrusion « non sollicités » se sont poursuivis pendant quatre jours après que CertiK ait réussi une preuve de concept. 

CertiK aurait dû restituer les fonds avant ou au moment du rapport initial. Une telle somme d’argent n’aurait jamais dû être retirée de la trésorerie de Kraken ou de tout autre échange.

Où la confiance trouve sa place

En tant qu’industrie, nous devons rester unis et veiller les uns sur les autres, quelle que soit l’attention qu’un titre préjudiciable attirerait sur une entreprise concurrente.

Notre industrie est confrontée à un nombre élevé de hackers malveillants à combattre. Heureusement, même après des évolutions décevantes comme celle-ci, nous continuons à améliorer nos produits et nos pratiques de sécurité, tandis que l’innovation progresse régulièrement. 

La collaboration au sein de l'industrie, où des informations intimes et précieuses sont partagées entre concurrents, est cruciale car, en fin de compte, la sécurité est un sport d'équipe.

Nous ne pouvons progresser en tant qu’industrie que s’il existe une confiance entre tous les « gentils ». En fait, il ne faut pas opposer « nous » à « eux » : nous travaillons tous pour un bien commun et nous devons avant tout garder cela à l’esprit.