- Une vulnérabilité dans les versions de Bitcoin Core antérieures à la version 25.0 permet des attaques par arrêt à distance sur plus de 13 % des nœuds.
- La version 25.0 de Bitcoin Core corrige une faille critique dans le traitement des messages « blocktxn », améliorant ainsi la sécurité du réseau.
Récemment, les développeurs de Bitcoin ont révélé une grave faille logicielle qui compromet plus de 13 % des nœuds appliquant les politiques du réseau. Le problème, connu sous le nom de CVE-2024-35202, affecte les nœuds utilisant des versions de Bitcoin Core antérieures à la version 25.0. Selon Protos, les attaques par arrêt à distance sont une vulnérabilité de ces nœuds résultant de la façon dont le programme gère « blocktxn ».
Exploitation de conflits dans le protocole Compact Block pour faire planter des nœuds Bitcoin vulnérables
Cette faiblesse peut permettre à un pirate de placer un nœud dans un état incorrect, provoquant ainsi un crash. Le problème provient du protocole de bloc compact, qui utilise des identifiants de transaction abrégés pour réduire l’utilisation de la bande passante.
Bien que ce protocole soit efficace, il donne aux pirates la possibilité de déclencher des conflits, ce qui pousse les nœuds à exiger un bloc complet pouvant entraîner la défaillance du système.
Niklas Gögge a découvert et signalé la vulnérabilité ; il a également pris soin de fournir le correctif nécessaire. Publiée en mai 2023, la version 25.0 de Bitcoin Core incluait cette réparation. Néanmoins, un grand nombre de nœuds n’ont pas été mis à niveau malgré la publication de cette version, et restent donc exposés à d’éventuelles attaques.
Étant donné que le bogue n’offre pas d’avantages financiers significatifs aux pirates ordinaires, il est peu probable qu’ils l’utilisent. Les parties plus importantes, comme les gouvernements ou les entreprises, qui tentent de perturber le réseau Bitcoin pourraient toutefois l’utiliser.
Cette vulnérabilité s’inscrit dans une tendance plus large des ingénieurs à trouver des faiblesses majeures dans les premières itérations de Bitcoin Core. Les opérateurs de nœuds doivent télécharger et appliquer manuellement les nouvelles versions, car le programme Bitcoin Core ne se met pas à jour automatiquement. Les nœuds qui utilisent des logiciels obsolètes restent vulnérables aux attaques qui pourraient les arrêter à distance sans ces mises à jour.
Environ 13,7 % des nœuds Bitcoin sont encore dangereux à l’heure actuelle. Pour se prémunir contre ces vulnérabilités et d’autres, les développeurs conseillent vivement aux opérateurs de nœuds de passer à la version la plus récente de Bitcoin Core.
Les créateurs de Bitcoin Core ne cessent d’améliorer la sécurité et la stabilité du système dans le but de protéger le réseau. Comme nous l’avons signalé précédemment, la version 28.0 de Bitcoin Core a été publiée récemment pour corriger une autre faille découverte en septembre.
Sans sacrifier la fonctionnalité du logiciel, cette mise à jour ajoute des couches de sécurité supplémentaires, améliorant ainsi la confidentialité des utilisateurs et la résilience générale du réseau.
Au moment où nous écrivons ces lignes, le prix du BTC est d’environ 62 804,68 $, soit une légère hausse de 0,36 % au cours des dernières 24 heures.
