Zcash, la crypto anonyme qui balance votre IP

Avis de tempête pour Zcash. Dans la liste de critiques dont fait régulièrement l’objet une des cryptomonnaies les plus connues, la dernière en date fait frémir : un bug affecterait tous les nœuds complets du réseau, révélant l’IP des utilisateurs procédant à des transactions. Pire encore, révélée il y a quelques jours, cette faille de sécurité affecterait en particulier les adresses dites « zaddr », présentées pourtant comme étant les plus sécurisées.

Enfin, last but not least, ce bug affecterait également les nombreux coins issus de forks du ZCash, dont quelques stars du secteur.

Zaddr – Un coffre fort à la porte entrouverte

C’est Duke Leto, le développeur bien connu de Komodo (KMD), qui est à l’origine de la révélation via un article sur son blog : les nœuds complets du réseau Zcash, cryptomonnaie dont la proposition de valeur est fondée sur le total anonymat qu’elle est supposée procurer, présenteraient un bug quelque peu ennuyeux. En effet, lors de l’utilisation de l’option de paiements présentée comme la plus sécurisée entre adresses protégées (aussi appelées z-adresses, ou shielded adress), c’est tout bonnement la vraie IP de l’expéditeur qui pourrait se trouver exposée. Embêtant.

« Un bug a existé pour toutes les adresses passant par la shielded pool depuis la création de Zcash et du protocole Zcash. Il est présent dans tous les forks tirés du code source Zcash. Il est possible de trouver l’adresse IP des nœuds complets qui possèdent une adresse shielded (zaddr). En d’autres termes, si Alice transmet à Bob sa z-address pour un paiement, elle pourrait en fait permettre à Bob de découvrir son adresse IP. C’est radicalement contraire à la conception du protocole Zcash. » Duke Leto, dans le cadre de la présentation du bug.

Un rapport de suivi de cette faille a par ailleurs été mis en place par l’intéressé sur le dictionnaire de vulnérabilités CVE.

Adam Back de Blockstream a apporté son éclairage sur les réseaux sociaux pour mieux résumer la vulnérabilité : des nœuds malveillants peuvent ainsi soumettre des transactions intentionnellement invalides pour attaquer d’autres nœuds du réseau, mais pensées de manière à provoquer l’exposition des z-addresses détenues par ces nœuds attaquées.

Les mauvaises nouvelles ayant tendance à voler en escadrilles, non seulement le problème est grave, mais en plus il existe depuis toujours. De plus, si certains ont expliqué que pour se protéger il suffisait de transmettre ses transactions shieldées tout en utilisant des solutions d’anonymisation comme TOR ou Tails par exemple, les utilisateurs de ZCash qui auraient poussé le vice jusqu’à utiliser ces z-adresses doivent considérer que non seulement leur IP a pu être compromise, mais également diverses métadonnées comme leur géolocalisation

Sarah Jamie Lewis, spécialiste en cybersécurité et fondatrice d’OpenPriv, a eu pour sa part une prise de position un peu plus tranchée.

Même l’utilisation de telles solutions ne serait pas suffisante pour se prémunir, le simple fait de cacher son nœud complet derrière TOR n’étant pas une protection complète et définitive contre ce type précis de faille, selon elle.

That’s all fork !

Vous pensiez l’info insuffisamment déprimante ? Attendez la suite : Zcash a en effet eu une descendance nombreuse et prospère au sein de laquelle de nombreux noms connus. Parmi eux, citons par exemple Safecoin, Horizen, Zero, VoteCoin, Verus, Bitcoin Private, ZClassic et d’autres encore. Or, tous ces coins, en tant que forks de ZCash, ont également répliqués sa propension à balancer votre IP OKLM.

« Parait qu’ils font des goodies maintenant chez ZCash ? »

Prenons tout de même un petit instant pour respirer tranquillement : même si cette faille peut faire grincer des dents à raison, il n’est probablement pas inutile de rappeler que seule une infime partie des utilisateurs de Zcash se sert réellement des fonctions d’anonymisation offertes par les transactions shieldées d’adresse protégée à adresse protégée, comme nous vous l’expliquions dans un article dédié. Les estimations (optimistes) dérivées de recherches universitaires datant de l’an dernier arrivaient à la conclusion que seulement 0,105% des transactions Zcash étaient réellement shieldées de bout en bout.

Alors que Zcash rectifiait déjà en toute discrétion il y a quelques mois une autre faille qui aurait permis de créer des ZCash à l’infini, la question commence à sérieusement se poser : si même une crypto conseillée par Edward Snowden lui-même se révèle incapable de tenir la promesse de transactions réellement anonymes, laquelle y parviendra ? 

Hellmouth Banner

Ex-rédacteur en chef du Journal du Coin j'apporte ma petite pierre à l'édifice financier global qui émerge sous nos yeux. Les insultes, scoops, propositions de sujets, demandes en mariage et autres corbeilles de fruits sont à livrer sur mes différents comptes sociaux. Vous pouvez également venir discuter sur le groupe FB associé à l'initiative Tahiti Cryptomonnaies