Par Thierry Berthier.
Cryptoine mise hors service
Après les attaques contre les plates-formes d’échanges AllCrypt Bitcoin et Altcoin, c’est Cryptoine qui vient d’être ciblée et mise hors service le 24 mars dernier. Cryptoine est une plate-forme d’échange assez modeste par ses volumes de transaction et sa fréquentation mais son offre particulièrement large couvre de nombreuses cryptomonnaies parfois exotiques et confidentielles. Le hacking dont elle a été victime le 24 mars 2015 l’a obligée à interrompre totalement son activité pour «gérer la crise». Un certain nombre de portefeuilles de cryptomonnaies auraient été attaqués et vidés de leurs contenus. Les administrateurs de Cryptoine ont publié plusieurs communiqués à destination de leur clientèle :
“Our hot wallets was drained, coins: bitcoin, litecoin, urocoin, dogecoin, bitcoinscrypt, magi, darkcoin, dogecoindark, cannabis All coins that we have, will be returned to users. Coins stolen – in correspondingly smaller quantities. We had wallets in the ratio 60%/40% (hot/cold)”
Les attaquants auraient exploité un important bug de programmation (race conditioning bug) qui, une fois habilement utilisé, permet à des événements incontrôlables de se produire selon une séquence non désirée par le programmeur. L’attaquant a utilisé ce bug pour bloquer, au sein du moteur d’échange, la procédure temporelle d’exécution et de vérification de la transaction. Les concepteurs de la plate-forme d’échange déclarent sur leur site :
“Unfortunately, Cryptoine was hacked. The hacker found some race condition bug in our trading engine. Manipulation of orders gave him false balances. Soon we reveal more details”
Concilier complexité et qualité d’un code
Contrairement à l’attaque de la plate-forme AllCrypt qui s’appuyait sur une vulnérabilité de WordPress, le hacking de Cryptoine exploite une faiblesse du programme supervisant le moteur d’échanges. Cette attaque, comme d’autres avant elle, montre que la solution logicielle « maison » n’apporte pas de garanties de sécurité, pas plus d’ailleurs que l’utilisation de supports généraux développés en externe. Les notions de qualité et de résilience d’un programme prennent ici toute leur valeur. La robustesse d’un code (sa capacité à fonctionner dans des conditions non nominales) fait en principe partie du cahier des charges de tout programme moderne. Le nombre de lignes de code qui composent ce programme influence très directement « l’énergie » à déployer pour le sécuriser. Malheureusement, cette dépendance n’est pas linéaire : plus la taille du code augmente et plus l’effort à fournir par ligne de code pour le « blinder » devient important. L’attaquant profite alors pleinement de cette corrélation non linéaire. La complexité et l’IA embarquées dans les systèmes augmentent aujourd’hui régulièrement. Elles augmentent d’autant le nombre de vecteurs d’entrées utilisés pour une cyberattaque.
Hacker les cours des cryptos
D’une manière évidente, il convient de rapprocher la longue série de hacking ciblant méthodiquement et efficacement l’ensemble des plates-formes d’échanges de cryptomonnaies et l’évolution du cours du Bitcoin depuis sa création. L’insécurité chronique qui règne sur les centres d’échanges des cryptomonnaies induit très naturellement une perte de confiance des clients potentiels, légitimes ou non, et ne peut que faire chuter les cours :
La boucle systémique : « Hacking => perte de confiance => chute des cours => baisse des efforts de sécurisation => Hacking » peut provoquer la destruction momentanée des cryptomonnaies en activité. Si elle ne s’accompagne pas d’une campagne de sécurisation prioritaire des programmes sous-jacents, l’émergence de nouvelles cryptos ne fera que diluer le problème et dissoudre la confiance des usagers. Sans sécurité logicielle, le système ne pourra produire qu’une multitude de micromonnaies aussi exotiques qu’éphémères, le plus souvent dédiées à l’activité criminelle. Bien entendu, on peut toujours s’interroger aujourd’hui avec un simple « À qui profite cette boucle systémique ? ». Il faut certainement passer par cette phase d’instabilités, de turbulences et de doutes pour construire ensuite des systèmes plus robustes, plus attractifs et plus stables. En attendant, pour le cours du Bitcoin, suivez le cours du hacking…
Liens
C’est la responsabilité des traders de ne jamais laisser la totalité de leur capital sur les plateformes d’échange et le moins longtemps possible.
Il existe déjà des moyens d’échanger cryptos/assets/tokens de manière sûre et décentralisé comme le Nxt.
Ceux qui tradent sur les plateformes d’échange Chinoises sont très souvent des bots.
Finalement, le $ c’est pas si mal …
En attendant, le Dashcoin (ex Darkcoin) a pris 500% en 6 mois et continue de s’affirmer comme le véritable challenger du Bitcoin.
non, http://coinmarketcap.com/currencies/darkcoin/#charts
il y a 6 mois, la capitalisation boursière du dashcoin était de 10 millions usd, aujourd’hui 22 millions usd, soit 120 %.
et toujours loin des 60 millions usd de mai dernier.
et pas de liquidité, entre 200 000 et 800 000 usd d’échanges par jour.
Ceux qui créent une crypto-monnaie aujourd’hui s’exposent à un marché trop faible.
L’article généralise beaucoup trop vite.
Il existe différents systèmes d’échange, qui font reposer leur sécurité sur des facteurs différents. Pour le bitcoin par exemple, c’est l’architecture pair à pair plus que la qualité du code : la validité et la sécurité des transactions est assurée par l’ensemble du réseau, et si un noeud est “hacké” les conséquences ont limitées à ce noeud. C’est pourquoi les plateformes de change sont le point faible du système.
De plus, même pour des systèmes utilisant la même architecture pair à pair, un système de mille noeuds est plus robuste qu’un système de dix noeuds.
Cryptoine est une plateforme d’échanges tout à fait mineure qui n’apparaît même pas dans les listes pourtant longues figurant par exemple sur le site Bitcoin Charts. ET les chiffres donnés dans l’article parlent d’eux-mêmes : le nombre de bitcoins “volés” (pour autant que ce terme ait un sens ici) est de 5.6 pour 8 portefeuilles. Ca n’est pas ça qui va beaucoup faire varier le cours du bitcoin.
Effectivement, Cryptoine est une plateforme de faible activité. Elle fait juste partie d’une liste ininterrompue de plateformes ciblées; c’est la dernière en date. La précédente, c’était il y a un mois seulement. L’information a été diffusée sur l’ensemble des sites de veille en cybersécurité, Tout ceci n’est pas bon pour la confiance dans le système et le cours des cryptos. Ensuite, la capture du relevé des comptes hackés est une vue partielle. Cryptoine est toujours HS depuis l’attaque. Sur ce cas , c’est bien un défaut de qualité du code développé en interne qui a été exploité.
le 24 mars, le btc est passé de 266 à 245 $, et il est maintenant à 255. “Dégringolade”, vraiment ?
Les autres cryptomonnaies, je ne sais pas…
Il faut observer la tendance du btc sur la période décembre 2013 – février 2015. Sur une semaine, ça n’a guère de sens. C’est l’enchainement (rythme) des attaques qui entame la confiance et pas une attaque isolée en particulier. La mécanique des cryptos n’en reste pas moins remarquable et d’avenir, sa mise en Å“uvre par contre demande à être améliorée et sécurisée comme souvent sur de l’innovation de rupture. Les cryptos 2.0 vont corriger les défauts de jeunesse du système mais pour l’instant, le btc se tasse.
En décembre 2013 le btc passait par un pic vers 1100$, le niveau le plus haut de son histoire. Un mois plus tôt, il naviguait autour de 300$. En mars 2015 il est revenu à 300$. Depuis janvier 2015, la tendance est à une légère hausse.
Y a-t-il encore des ânes pour utiliser un portefeuille en ligne ? Sérieusement ?
C’est comme si je laissais mon portefeuille sur une table de bistro et que je m’étonnais ensuite de ne pas le retrouver, et pire encore, que j’en déduise que l’euro n’est pas une monnaie sûre (ce que fait allégrement l’auteur de l’article)
Mais ici, il s’agit d’une plateforme de change. Et là , il faut bien que les sommes en attente (ou leurs codes d’accès) soient stockées en ligne sur le serveur de change.
« Hacking => perte de confiance => chute des cours => baisse des efforts de sécurisation => Hacking »
Pas forcément.
“Hacking => perte de confiance => chute des cours => baisse du hacking” me semble aussi valable. Mieux vaut se méfier de la théorie des spirales déflationnistes, celles-ci sont plus complexes et possèdent en elles les contradictions aboutissant à un nouveau point d’équilibre.
Maintenant, il est normal qu’un produit financier techniquement novateur et n’ayant que 6 ans de vie soit fortement éprouvé.
Peut-être qu’il ne survivra pas, peut-être qu’à terme, les plateformes d’échanges se renforceront ou évolueront.
La baisse du Hacking n’intervient que lorsque le niveau du blindage augmente. C’est le premier principe de “thermodynamique” de la cyberhacktivité. La baisse des cours ne va pas décourager les cellules de hacking. Défis et exploits sont les moteurs de base de l’attaque et le gain arrive ensuite.
La rémunération du hacking serait une incitation négligeable ? J’en doute… Que le défi soit un un moteur important ne signifie pas pour autant que le gain n’en est pas.
D’ailleurs, si le défi est important, la hausse du blindage augmente le défi, non ?