Invezz

Les développeurs de Bitcoin Core mettent en œuvre une nouvelle politique de divulgation des bogues

Les développeurs de Bitcoin Core mettent en œuvre une nouvelle politique de divulgation des bogues
Rony Roy
04 juil. 2024, 09:27 AM
  • La politique introduit des procédures standard pour signaler et catégoriser les vulnérabilités en fonction de leur gravité.
  • Il vise à corriger l’idée fausse selon laquelle Bitcoin Core est exempt de bugs.
  • La nouvelle politique de divulgation sera adoptée progressivement.

Les développeurs de Bitcoin Core ont mis en œuvre une nouvelle politique de divulgation de sécurité. La politique établira des mesures de reporting standardisées pour signaler les vulnérabilités.

Bitcoin Core est un logiciel destiné aux opérateurs de nœuds Bitcoin utilisé pour valider les transactions et créer des blocs. L'application joue un rôle crucial dans la sécurisation de la blockchain Bitcoin.

Plus de transparence

Antoine Poinsot, développeur principal de Bitcoin, ainsi que cinq autres personnes, ont noté dans un e-mail que Bitcoin Core "a toujours fait un mauvais travail en divulguant publiquement les bogues critiques pour la sécurité".

Cela crée une idée fausse parmi les utilisateurs de Bitcoin selon laquelle Bitcoin Core est exempt de bugs. Cependant, les développeurs estiment que ce n'est pas le cas et que cette « perception » est inexacte et « dangereuse ».

Les divulgations de sécurité sont le processus par lequel les développeurs et les chercheurs externes signalent les failles d'un système à l'organisation concernée. Cette notion est assez similaire aux programmes de bug bounty.

Le processus de divulgation implique généralement de repérer une vulnérabilité, de la signaler de manière confidentielle, de vérifier la vulnérabilité, puis de la divulguer publiquement conformément aux détails.

Dans le cadre de la nouvelle politique, les vulnérabilités du réseau sont classées en fonction de leur gravité.

Trois catégories principales de vulnérabilités

Les bugs de faible gravité incluent ceux qui ont un impact minimal sur le réseau. Ces bogues doivent être divulgués après la publication d'un correctif. Par exemple, un bug de portefeuille qui nécessite un accès physique à un système serait classé dans cette catégorie.

Les bogues de gravité moyenne à élevée seraient divulgués un an après la fin de vie (EOL) de la dernière version concernée. Il s'agirait de bogues ayant un impact limité, tels que des pannes à distance du réseau local.

Enfin, les bogues critiques qui présentent des risques importants pour le réseau seraient traités via des procédures ad hoc en raison de leur nature grave. Ces bugs ont tendance à menacer l’intégrité du réseau.

Au fil des années, le réseau Bitcoin a connu de multiples problèmes de sécurité, surnommés Common Vulnerabilities and Exposures (CVE).

Par exemple, CVE-2012-2459 permettrait aux attaquants de créer des blocs invalides qui semblaient valides. Pendant ce temps, CVE-2018-17144 a permis aux attaquants de créer des Bitcoins supplémentaires en dehors du plafond d'approvisionnement fixe du réseau.

Selon Poinsot, la nouvelle politique facilitera une meilleure communication sur les risques liés à l'exécution d'une version obsolète du protocole principal Bitcoin.

Il a ajouté que rendre ces bugs accessibles à un groupe plus large de contributeurs peut « aider à prévenir de futurs bugs ».

La politique mise à jour a été saluée par le développeur Eric Voskuil, qui a écrit :

À partir de maintenant, Poinsot a ajouté que toutes les vulnérabilités corrigées dans les versions 0.21.0 et antérieures de Bitcoin Core ont été divulguées. Les divulgations des versions 0.22.0 et 0.23.0 sont prévues pour juillet et août.

Les nouveaux changements seront « progressivement adoptés » dans les mois à venir, a-t-il ajouté.