Un groupe de développeurs Bitcoin Core a lancé une politique de divulgation des « bugs critiques » visant à communiquer plus efficacement les vulnérabilités de sécurité Bitcoin.

"Le projet a toujours fait un mauvais travail en divulguant publiquement les bogues critiques pour la sécurité, qu'ils soient signalés en externe ou trouvés par des contributeurs", ont écrit le développeur principal de Bitcoin, Antoine Poinsot, et cinq autres personnes aux membres de la liste de diffusion de développement Bitcoin le 3 juillet.

Cela a conduit à une situation dans laquelle les utilisateurs de Bitcoin sont amenés à croire que Bitcoin Core est exempt de bugs, mais Poinsot a souligné que ce n'est tout simplement pas le cas.

« Cette perception est dangereuse et, malheureusement, inexacte. »

Bitcoin Core est le logiciel que les opérateurs de nœuds Bitcoin téléchargent pour accéder à la blockchain Bitcoin, valider les transactions et construire des blocs. Il joue un rôle crucial dans la sécurisation de plus de 1 100 milliards de dollars bloqués dans le réseau Bitcoin.

Poinsot a déclaré que la nouvelle politique permettrait une meilleure communication sur le risque d'exécuter des versions obsolètes de Bitcoin Core et fournirait un processus de divulgation standardisé qui inciterait davantage les chercheurs à rechercher et à divulguer de manière responsable les vulnérabilités.

"Rendre les bogues de sécurité accessibles à un groupe plus large de contributeurs peut aider à en prévenir de futurs."

La nouvelle politique de divulgation catégorisera les vulnérabilités en fonction de quatre niveaux de gravité.

La première catégorie, « faible », regroupe les bugs difficiles à exploiter et ayant un faible impact, comme un bug de portefeuille qui nécessite l’accès à la machine de la victime.

La deuxième catégorie, « moyenne » concerne les bogues ayant un impact limité, tels qu'un crash à distance du réseau local.

Les deux dernières catégories incluent les bogues de gravité « élevée » qui pourraient avoir un impact significatif, tandis que les bogues de gravité « critique » menacent l’intégrité de l’ensemble du réseau.

Un exemple de bug critique pourrait impliquer la manipulation de Bitcoin Core pour gonfler l’offre plafonnée de Bitcoin ou commettre un « vol de pièces ».

Les bogues faibles, moyens et élevés auront pour objectif d'être divulgués deux semaines après la publication d'une version corrigée, tandis que la divulgation des bogues critiques sera déterminée au cas par cas.

En relation: Les partisans de Bitcoin Ordinals devraient exiger un nouveau fork Bitcoin

Cette politique sera « progressivement adoptée » dans les mois à venir, a ajouté M. Poinsot.

Poinsot a noté que toutes les vulnérabilités corrigées dans les versions 0.21.0 et antérieures de Bitcoin Core ont été divulguées le 3 juillet et que les divulgations pour les versions 0.22.0 et 0.23.0 seront publiées plus tard ce mois-ci et en août.

Bitcoin Core version 27.1 est la dernière version adoptée.

La nouvelle politique a reçu les éloges de son collègue développeur Bitcoin Core, Eric Voskuil :

« De nombreux autres projets ont été victimes de cette perception erronée, et cela a en fait causé un préjudice matériel à la communauté. Je ne sais pas ce qui a précipité ce changement, mais bravo à vous tous pour avoir intensifié vos efforts.

Magazine : Les « Bitcoin Layer 2 » ne sont pas vraiment des L2 : voici pourquoi c’est important