Une catastrophe évitée de justesse. La sécurité est une composante centrale des cryptomonnaies. Que ce soit au niveau des protocoles ou du stockage des cryptos, elle est fondamentale. L’entreprise Fireblocks a décelé une faille critique dans plusieurs wallets crypto. Heureusement, celle-ci a pu être corrigée à temps.
15 wallets impactés par une faille critique
Fireblocks est une entreprise spécialisée dans le stockage de cryptomonnaies pour des tiers. Le 9 août, celle-ci a dévoilé avoir décelé une faille critique, affectant 15 wallets cryptos.
Ainsi, cette faille intitulée BitForge par les équipes de Fireblocks contient une série de vulnérabilités zero-day, à savoir des vulnérabilités inédites.
En pratique, cette faille affecte plusieurs implémentations largement utilisées des protocoles MPC (Multi-Party Computation). Celle-ci aurait permis à un utilisateur malveillant de siphonner les wallets concernés sans que l’utilisateur ou le fournisseur du wallet ne le sache.
En effet, ces failles permettent à l’attaquant d’extraire la clé privée complète. Cela est notamment engendré par le fait que ces wallets n’utilisent pas de preuve à divulgation nulle.
Malheureusement, ces vulnérabilités ont été détectées dans les implémentations de plus de 15 fournisseurs de portefeuilles cryptos.
Divulgation de la faille et correctif
Après avoir découvert cette faille, Fireblocks a enclenché une période de non-divulgation de 90 jours. Au cours de cette période, l’entreprise a contacté l’ensemble des fournisseurs de portefeuille crypto affectés, mais n’a pas révélé publiquement la faille.
D’après les informations révélées dans le rapport, plusieurs fournisseurs de wallet ont corrigé les failles suite aux échanges avec Fireblocks.
Fireblocks a notamment souligné la réactivité de Coinbase WaaS et Zengo pour corriger la faille et sécuriser leurs utilisateurs. Ces derniers se sont d’ailleurs montré extrêmement reconnaissant :
« Nous tenons à remercier l’équipe de Fireblocks pour sa divulgation responsable : c’est exactement ce à quoi ressemble une collaboration proactive en matière de sécurité. Le problème a été rapidement résolu et aucun fonds d’utilisateur n’a été affecté. Cela met en évidence la puissance de nos bibliothèques cryptographiques MPC open source, et nous sommes impatients de continuer à contribuer au renforcement de la sécurité cryptographique de l’ensemble de l’écosystème. »
De son côté, l’écosystème crypto gagnerait à généraliser cette pratique. En effet, de nombreux internautes ont récemment souligné la responsabilité d’entreprises telles que PeckShield dans les hacks. En effet, après avoir révélé publiquement la faille sur Curve, d’autres protocoles disposant de la même faille ont été exploités. Certains membres de la communauté estiment que cela n’aurait pas été le cas avec une divulgation responsable.
Pour conserver vos cryptos, rien ne vaut un wallet Ledger. Les Nano S et Nano X procurent sécurité et facilité d’utilisation. En effet, ils sont compatibles avec l’immense majorité des cryptos et des réseaux. Ils constituent une alternative absolument essentielle à tous les exchanges qui proposent de conserver vos avoirs à votre place. Rappelez-vous, “Not your keys, not your coins” (lien commercial) !
