Découverte d'une faille de sécurité dans la plateforme blockchain

L'éther, moyen de paiement numérique, est la deuxième cryptomonnaie la plus répandue après le bitcoin. D'un point de vue technologique, la plateforme de blockchain Ethereum, sur laquelle les éthers sont mis en ?uvre, a toutefois une longueur d'avance sur le leader du marché. Alors que les bitcoins ne peuvent être utilisés pratiquement que pour des transactions financières, Ethereum permet en outre de lier les transactions à des conditions contractuelles, appelées "contrats intelligents". Il s'agit de petits programmes informatiques qui sont exécutés lorsque la transaction monétaire correspondante a eu lieu ou qui, à l'inverse, déclenchent une transaction monétaire ou une livraison de données lorsqu'ils sont exécutés.

Mercredi dernier, Ethereum aurait d? conna?tre l'une de ses mises à jour régulières. Celle-ci a toutefois été stoppée à la dernière minute - suite à une remarque du spin-off de l'ETH page externeSécurité de la cha?ne. Hubert Ritzdorf, directeur technique de Chainsecurity et ancien doctorant de l'ETH, a remarqué que la mise à niveau ouvrirait une faille de sécurité. Il en a informé l'équipe centrale d'Ethereum, qui a alors stoppé la mise à niveau. "Si la mise à niveau avait été effectuée comme prévu, des utilisateurs ayant l'intention d'abuser auraient pu attaquer certains contrats et ainsi piller le compte d'autres utilisateurs", explique Ritzdorf.

Concrètement, la faille de sécurité serait apparue parce qu'Ethereum voulait réduire considérablement le prix que les utilisateurs doivent payer pour l'exécution de contrats intelligents. Ceci dans le but d'améliorer la convivialité. Toutefois, cette modification aurait permis aux utilisateurs malintentionnés de mettre en place des contrats intelligents imbriqués, qui exécutent une transaction en arrière-plan plusieurs fois au lieu d'une seule. Il aurait ainsi été possible de piller le compte Ether d'autres utilisateurs. Actuellement, une combinaison de prix contractuels plus élevés et d'un montant maximal par transaction rend impossible l'exécution de contrats intelligents cachés en arrière-plan.

T?V pour les contrats intelligents

Chainsecurity a été fondée il y a un an par le professeur de l'ETH Martin Vechev et les anciens doctorants de l'ETH Ritzdorf et Petar Tsankov. L'entreprise a pour objectif général de rendre les technologies blockchain plus s?res. Pour ce faire, Chainsecurity développe et exploite des programmes d'analyse automatisés pour les contrats intelligents. Les fournisseurs de ces contrats intelligents peuvent se faire auditer par l'entreprise et ainsi garantir la sécurité de leurs contrats. Chainsecurity est donc quasiment un T?V pour les contrats intelligents. Cela présente un intérêt pour les entreprises qui mettent la crypto-monnaie sur le marché ("minage"), mais aussi pour tous les autres fournisseurs de produits blockchain, par exemple les plateformes commerciales et les assurances.

Ritzdorf a découvert la faille de sécurité actuelle il y a quelques jours, alors qu'il était en train d'identifier les conséquences possibles de la mise à niveau prévue (et publiée en détail à l'avance) d'Ethereum sur les contrats intelligents existants des entreprises clientes, ainsi que de mettre à jour les outils d'audit de sécurité de l'entreprise.

"Les contrats intelligents ne sont pas exécutés par des personnes ni par un système informatique contr?lé par une seule entreprise. Ils sont plut?t exécutés par une sorte de machine à l'échelle mondiale. Cela crée une grande confiance en matière de sécurité", explique Tsankov de Chainsecurity. "Toutefois, la sécurité n'est élevée que si le logiciel et les différents contrats intelligents ne présentent pas de failles de sécurité. Vérifier cela et garantir la sécurité à nos clients, tel est notre modèle commercial".