Un groupe de développeurs Bitcoin Core a introduit une politique complète de divulgation de sécurité pour remédier aux lacunes passées en matière de publication de bogues critiques pour la sécurité.

Cette nouvelle politique vise à établir un processus standardisé de signalement et de divulgation des vulnérabilités, améliorant ainsi la transparence et la sécurité au sein de l'écosystème Bitcoin.

Plusieurs vulnérabilités jusqu'alors non divulguées sont également incluses dans l'annonce.

Qu'est-ce qu'une divulgation de sécurité ?

Une divulgation de sécurité est un processus par lequel des chercheurs en sécurité ou des pirates informatiques éthiques signalent à l'organisation concernée les vulnérabilités qu'ils découvrent dans des logiciels ou des systèmes. L’objectif est de permettre à l’organisation de remédier à ces vulnérabilités avant qu’elles ne puissent être exploitées par des acteurs malveillants. Ce processus implique généralement de découvrir la vulnérabilité, de la signaler de manière confidentielle, de vérifier son existence, de développer un correctif et enfin de divulguer publiquement la vulnérabilité ainsi que des détails et des conseils d'atténuation.

Les utilisateurs doivent-ils s’inquiéter ?

Les dernières divulgations de sécurité de Bitcoin Core corrigent diverses vulnérabilités de gravité variable. Les problèmes clés incluent plusieurs vulnérabilités de déni de service (DoS) qui pourraient provoquer des interruptions de service, une faille d'exécution de code à distance (RCE) dans la bibliothèque miniUPnPc, des bogues de gestion des transactions qui pourraient conduire à la censure ou à une mauvaise gestion des transactions orphelines, et des vulnérabilités réseau telles que comme une explosion de tampon et un débordement d'horodatage conduisant à des divisions de réseau.

On ne pense pas qu’aucune de ces vulnérabilités présente actuellement un risque critique pour le réseau Bitcoin. Quoi qu’il en soit, les utilisateurs sont fortement encouragés à s’assurer que leur logiciel est à jour.

Pour des informations détaillées, consultez les commits sur GitHub : Bitcoin Core Security Disclosures.

Améliorer le processus de divulgation

La nouvelle politique de Bitcoin Core classe les vulnérabilités en quatre niveaux de gravité : faible, moyen, élevé et critique.

• Faible gravité : bogues difficiles à exploiter ou ayant un impact minime. Ceux-ci seront divulgués deux semaines après la publication d'un correctif.

• Gravité moyenne et élevée : bugs avec un impact important ou une facilité d'exploitation modérée. Celles-ci seront divulguées un an après la fin de vie (EOL) de la dernière version concernée.

• Gravité critique : les bogues qui menacent l’intégrité de l’ensemble du réseau, tels que les vulnérabilités liées à l’inflation ou au vol de pièces, seront traités avec des procédures ad hoc en raison de leur nature grave.

Cette politique vise à fournir un suivi cohérent et des processus de divulgation standardisés, encourageant un reporting responsable et permettant à la communauté de résoudre les problèmes rapidement.

Historique des divulgations CVE dans Bitcoin

Bitcoin a connu plusieurs problèmes de sécurité notables, connus sous le nom de CVE (Common Vulnerabilities and Exposures), au fil des ans. Ces incidents soulignent l’importance de pratiques de sécurité vigilantes et de mises à jour en temps opportun. Voici quelques exemples clés :

CVE-2012-2459 : ce bug critique pourrait provoquer des problèmes de réseau en permettant aux attaquants de créer des blocs non valides qui semblaient valides, ce qui pourrait diviser temporairement le réseau Bitcoin. Ce problème a été corrigé dans la version 0.6.1 de Bitcoin Core et a motivé de nouvelles améliorations des protocoles de sécurité de Bitcoin.

CVE-2018-17144 : Un bug critique qui aurait pu permettre à des attaquants de créer des Bitcoins supplémentaires, violant ainsi le principe d'approvisionnement fixe. Ce problème a été découvert et résolu en septembre 2018. Les utilisateurs devaient mettre à jour leur logiciel pour éviter une exploitation potentielle.

De plus, la communauté Bitcoin a discuté de diverses autres vulnérabilités et correctifs potentiels qui n’ont pas encore été mis en œuvre.

CVE-2013-2292 : En créant des blocs dont la vérification prend beaucoup de temps, un attaquant pourrait ralentir considérablement le réseau.

CVE-2017-12842 : Cette vulnérabilité peut faire croire aux portefeuilles Bitcoin légers qu’ils ont reçu un paiement alors qu’ils ne l’ont pas fait. Ceci est risqué pour les clients SPV (Simplified Payment Verification).

Les discussions autour de ces vulnérabilités soulignent le besoin continu de mises à jour coordonnées et soutenues par la communauté du protocole Bitcoin. Les recherches en cours autour de l’idée d’un soft fork de nettoyage consensuel cherchent à remédier aux vulnérabilités latentes de manière unifiée et efficace, garantissant ainsi la robustesse et la sécurité continues du réseau Bitcoin.

Le maintien de la sécurité des logiciels est un processus dynamique nécessitant une vigilance et des mises à jour continues. Cela recoupe le débat plus large sur l’ossification du Bitcoin, où le protocole de base reste inchangé pour maintenir la stabilité et la confiance. Alors que certains préconisent des changements minimes pour éviter les risques, d'autres soutiennent que des mises à jour occasionnelles sont nécessaires pour améliorer la sécurité et les fonctionnalités.

Cette nouvelle politique de divulgation de Bitcoin Core constitue une étape vers un équilibre entre ces perspectives en garantissant que toutes les mises à jour nécessaires sont bien communiquées et gérées de manière responsable.

Source : Bitcoin Magazine

Le message Bitcoin Core annonce une nouvelle politique de divulgation de sécurité apparaît en premier sur Crypto Breaking News.