Zcash, la crypto anonyme qui balance votre IP

Trading du CoinTrading du Coin

Avis de tempête pour Zcash. Dans la liste de critiques dont fait régulièrement l’objet une des cryptomonnaies les plus connues, la dernière en date fait frémir : un bug affecterait tous les nœuds complets du réseau, révélant l’IP des utilisateurs procédant à des transactions. Pire encore, révélée il y a quelques jours, cette faille de sécurité affecterait en particulier les adresses dites « zaddr », présentées pourtant comme étant les plus sécurisées.

Enfin, last but not least, ce bug affecterait également les nombreux coins issus de forks du ZCash, dont quelques stars du secteur.

Zaddr – Un coffre fort à la porte entrouverte

C’est Duke Leto, le développeur bien connu de Komodo (KMD), qui est à l’origine de la révélation via un article sur son blog : les nœuds complets du réseau Zcash, cryptomonnaie dont la proposition de valeur est fondée sur le total anonymat qu’elle est supposée procurer, présenteraient un bug quelque peu ennuyeux. En effet, lors de l’utilisation de l’option de paiements présentée comme la plus sécurisée entre adresses protégées (aussi appelées z-adresses, ou shielded adress), c’est tout bonnement la vraie IP de l’expéditeur qui pourrait se trouver exposée. Embêtant.

« Un bug a existé pour toutes les adresses passant par la shielded pool depuis la création de Zcash et du protocole Zcash. Il est présent dans tous les forks tirés du code source Zcash. Il est possible de trouver l’adresse IP des nœuds complets qui possèdent une adresse shielded (zaddr). En d’autres termes, si Alice transmet à Bob sa z-address pour un paiement, elle pourrait en fait permettre à Bob de découvrir son adresse IP. C’est radicalement contraire à la conception du protocole Zcash. » Duke Leto, dans le cadre de la présentation du bug.

Un rapport de suivi de cette faille a par ailleurs été mis en place par l’intéressé sur le dictionnaire de vulnérabilités CVE.

Adam Back de Blockstream a apporté son éclairage sur les réseaux sociaux pour mieux résumer la vulnérabilité : des nœuds malveillants peuvent ainsi soumettre des transactions intentionnellement invalides pour attaquer d’autres nœuds du réseau, mais pensées de manière à provoquer l’exposition des z-addresses détenues par ces nœuds attaquées.

Les mauvaises nouvelles ayant tendance à voler en escadrilles, non seulement le problème est grave, mais en plus il existe depuis toujours. De plus, si certains ont expliqué que pour se protéger il suffisait de transmettre ses transactions shieldées tout en utilisant des solutions d’anonymisation comme TOR ou Tails par exemple, les utilisateurs de ZCash qui auraient poussé le vice jusqu’à utiliser ces z-adresses doivent considérer que non seulement leur IP a pu être compromise, mais également diverses métadonnées comme leur géolocalisation

Sarah Jamie Lewis, spécialiste en cybersécurité et fondatrice d’OpenPriv, a eu pour sa part une prise de position un peu plus tranchée.

Même l’utilisation de telles solutions ne serait pas suffisante pour se prémunir, le simple fait de cacher son nœud complet derrière TOR n’étant pas une protection complète et définitive contre ce type précis de faille, selon elle.

That’s all fork !

Vous pensiez l’info insuffisamment déprimante ? Attendez la suite : Zcash a en effet eu une descendance nombreuse et prospère au sein de laquelle de nombreux noms connus. Parmi eux, citons par exemple Safecoin, Horizen, Zero, VoteCoin, Verus, Bitcoin Private, ZClassic et d’autres encore. Or, tous ces coins, en tant que forks de ZCash, ont également répliqués sa propension à balancer votre IP OKLM.

“Parait qu’ils font des goodies maintenant chez ZCash ?”

Prenons tout de même un petit instant pour respirer tranquillement : même si cette faille peut faire grincer des dents à raison, il n’est probablement pas inutile de rappeler que seule une infime partie des utilisateurs de Zcash se sert réellement des fonctions d’anonymisation offertes par les transactions shieldées d’adresse protégée à adresse protégée, comme nous vous l’expliquions dans un article dédié. Les estimations (optimistes) dérivées de recherches universitaires datant de l’an dernier arrivaient à la conclusion que seulement 0,105% des transactions Zcash étaient réellement shieldées de bout en bout.

Alors que Zcash rectifiait déjà en toute discrétion il y a quelques mois une autre faille qui aurait permis de créer des ZCash à l’infini, la question commence à sérieusement se poser : si même une crypto conseillée par Edward Snowden lui-même se révèle incapable de tenir la promesse de transactions réellement anonymes, laquelle y parviendra ? 

Hellmouth Banner
Crypto-enthousiaste, Polynésien de cœur vivant à Tahiti, Hellmouth Banner anime la page TahitiCryptomonnaies. "Après 10 ans dans le Pacifique Sud, je suis convaincu que les peuples du Pacifique Sud nous montrerons des chemins inédits à suivre, y compris dans les Nouvelles Technologies".

7
Poster un Commentaire

avatar
4 Fils de commentaires
3 Réponses de fil
0 Abonnés
 
Commentaire avec le plus de réactions
Le plus populaire des commentaires
plus récent plus ancien Le plus populaire
Claude
Invité

Moi je pense au Bytcoin : BCN ? J’aimerais un article sur lui !

Seb
Invité
Seb

Bytcoin, lol. Sérieusement, DOYR, c’est le pire scam de l’histoire des crypto. En revanche sa techno (Cryptonote) est extrêmement ingénieuse, et la meilleure crypto qui garantie l’anonymat est de loin et sans conteste MONERO !

bluop
Invité
bluop

Mouai …sachant que monero est basé sur bytecoin…
Dans l’anonymat d’une cryptomonnaie comme en religion , l’essentiel c’est d’y croire .

Duke
Invité
Duke

Cloak coin assurément

Seb
Invité
Seb

“laquelle y parviendra ?”
Vous auriez pu compléter votre article en citant les autres crypto qui sont nativement anonyme (sans que cela soit une option).

==> Monero est de loin la meilleure crypto dans ce domaine.
Anonymat obligatoire, FONGIBILITE, adresses sécurisées, blockchaine obfuscée (pas de rich list !), PoW anti Asic pour eviter la prise de contrôle par quelques Fabricants, totalement Open source, Distribution initiale aussi Fair que possible !

tous les ingredient pour en faire le Cash de demain !!

https://www.reddit.com/r/Monero/

a+

Grégory Guittard
Admin

Salut Seb, nous avons déjà consacré des articles à ces différents protocoles, notamment ici : https://journalducoin.com/guides/debuter-cryptomonnaies/etude-protocoles-cryptomonnaies-anonymes/

Ou, concernant Monero que tu sembles apprécier, juste ici : https://journalducoin.com/guides/anonymat/cryptonote-protocole-transactions-anonymes/

Mais, même si nous n’en avons pas encore parlé, et même si Monero est une solution complète, j’éviterais d’être confiant à l’excès à ta place 🙂 Même si le protocole s’adapte, il arrive à l’occasion que des chercheurs déterminés s’attaquent aussi au XMR (pour mémoire, en 2017, ça avait un peu bougé, juste ici : https://arxiv.org/pdf/1704.04299/). Et de toute façon, c’est une course à l’armement continu, ce qui vaut un jour ne vaut pas forcément le lendemain, dans un sens comme dans l’autre 🙂

Bonne journée à toi !

Buchette
Invité
Buchette

Laquelle y parviendra ? DAPS peut être. Mainnet lancé demain.