Une faille pouvant affecter les nœuds Ethereum (ETH) utilisant le client-logiciel Parity vient d’être détectée hier. Voici le point sur la situation et le détail des nœuds concernés.
Les nœuds publics Parity affectés
C’est ce 3 février que l’équipe de Parity Technologies a alerté ses utilisateurs : plusieurs rapports indiquaient que des nœuds publics Parity pouvaient être victimes d’une attaque ciblée, exploitant une faille dans les requêtes RPC (« Remote procedure call »), qui entraîne la mise hors service des nœuds affectés.
Dans leur fonctionnement normal en informatique, les RPC sont initiés par le client-logiciel, qui envoie un message de requête à un serveur distant connu (ici des nœuds publics du réseau ETH), pour exécuter une procédure spécifique, avec des paramètres spécifiques. Le serveur distant envoie alors une réponse au client-logiciel, puis l’application continue son déroulement.
Sauf qu’ici, ces requêtes RPC spéciales feraient planter les nœuds Parity d’Ethereum : Infura, MyEtherWallet, MyCrypto et d’autres infrastructures qui utilisent la procédure “JSONRPC” comme service au public sont affectées. La faille est exploitable sur toutes les versions antérieures à la 2.2.9-stable ou à la 2.3.2-beta de Parity.
Publication d’un patch de correction
À l’heure d’écrire ces lignes, un correctif a été publié par l’équipe de développement de Parity. Bien que la vulnérabilité n’affecte que les nœuds proposant la procédure JSONRPC, ils recommandent à tous les utilisateurs de leur client-logiciel de mettre à jour leurs nœuds immédiatement.
Rappelons qu’à la mi-janvier, une faille de sécurité dans Constantinople avait entraîné le report de ce hard fork d’Ethereum (aux environs du 27 février). Cette fois, la vulnérabilité aurait pu affecter des services sur le réseau actuellement en fonctionnement.
