Une vulnérabilité sur Secret Network – Vos secrets sont mal gardés
Un secret mal gardé – De nombreuses blockchains tentent d’intégrer l’anonymat et la protection de la vie privée de manière native. Néanmoins, toutes les technologies ne se valent pas. Le projet Secret Network vient de l’apprendre à ses dépens après qu’une étude ait mis en lumière les limites de son modèle.
Secret Network et la technologie SGX
Secret Network se présente comme la première blockchain avec une confidentialité personnalisable. Chaque utilisateur peut définir ce qu’il souhaite partager, avec qui et dans quelles mesures.
En pratique, Secret Network assure la confidentialité en couplant la technologie Intel SGX et plusieurs schémas de chiffrement.
Comme son nom l’indique, SGX est une technologie développée par la société Intel. Celle-ci permet la création de zones sécurisées d’exécution en mémoire (aussi appelée enclave). Ces enclaves permettent de protéger le contenu de l’exécution et d’empêcher la lecture des informations par un processus extérieur.
Malheureusement, la solution de SGX ne s’avère pas inviolable pour autant. En effet, en novembre 2020 des chercheurs de l’université de Birmingham avaient réussi à contourner les sécurités de SGX.
Pire encore, ils sont loin d’être les seuls à avoir réussi cet exploit. Au total, la sécurité de SGX a été mise à mal à au moins 8 reprises depuis 2017.
La sécurité de Secret Network mise à mal
Malheureusement, les failles de SGX sont à l’origine de problèmes au niveau de Secret Network.
En effet, 10 chercheurs viennent de publier une étude commune et celle-ci met en évidence l’échec de SGX dans la protection des données dans plusieurs applications. Ainsi, d’après leurs recherches, Secret Network serait exposé à deux vulnérabilités (xAPIC et MMIO). Ces deux vulnérabilités ont déjà été publiquement révélées en août 2022.
« Ces vulnérabilités pourraient être utilisées pour extraire la consensus seed. Il s’agit de la clé de déchiffrage principale pour les transactions privées sur Secret Network. »
Un problème de taille, car la divulgation de cette clé permettrait une « divulgation rétroactive complète de toutes les transactions privées de Secret Network ».
Heureusement, les chercheurs ont pris contact avec les équipes de Secret Network pour réfléchir à une méthode pour mitiger le risque.
Bien que la solution utilisée semble servir son but, nous ne sommes pas à l’abri qu’une attaque ait été perpétrée avant le déploiement du correctif. Face à ce risque, les chercheurs mettent en garde les utilisateurs de Secret Network.
« Nous invitons les utilisateurs soucieux du respect de la vie privée à réévaluer leurs risques, étant donné que leurs transactions passées pourraient être exposées. »
De leur côté, les équipes de Secret Network semblent botter en touche. En effet, ces dernières ont annoncé avoir corrigé le problème, sans adresser le fait qu’une attaque aurait pu être menée en amont du correctif.
La protection de la vie privée est au cœur des débats. Récemment, le géant MetaMask a déchaîné les passions après une modification des politiques de confidentialité. Ainsi, la communauté a reproché à Infura et MetaMask de collecter les adresses IP de ses utilisateurs.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).