Ce que les failles Meltdown et Spectre signifient pour la Crypto

Les vulnérabilités informatiques Meltdown et Spectre, récemment divulguées, nous rappellent une fois de plus à quel point l’ère numérique rend difficile la KEEP des informations privées, même des clés privées de Cryptomonnaie .

Révélées mercredi, ces vulnérabilités matérielles généralisées affectent simultanément les puces informatiques Intel, ARM et AMD, qui équipent la grande majorité des ordinateurs, appareils mobiles et serveurs du monde, permettant de voler des données privées telles que des mots de passe, des informations financières ou à peu près tout ce qui est stocké sur n'importe quel appareil utilisant ONEune de ces puces.

Ce qui est particulièrement important pour la Cryptomonnaie , c'est que les pirates peuvent potentiellement utiliser le vecteur d'attaque spécifique pour voler les clés privées qui permettent aux utilisateurs de contrôler leurs bitcoins sur la blockchain.

Mécanique populaireje l'ai appeléun bug « horrible », affirmant qu'il est « difficile de se concentrer sur la partie la plus troublante de cette faille », tandis qu'unpage d'informationrédigé par des chercheurs en sécurité, il remarque que vous êtes « très certainement » impacté par le bug.

Et même s'il n'y a aucune preuve que des mots de passe aient été compromis, les experts affirment qu'il ne serait T surprenant que des pirates informatiques ou la NSA aient exploité l'attaque.

Si vous suivez déjà les bonnes pratiques de stockage de Cryptomonnaie , tout va bien. Sinon, ou si vous êtes un nouvel utilisateur, les experts recommandent de KEEP les clés privées sur un support sécurisé.

« Mieux vaut prévenir que guérir », a déclaré Bryan Bishop, développeur de Bitcoin CORE, à CoinDesk, ajoutant :

« Un attaquant qui a connaissance d'une vulnérabilité suffisamment puissante peut théoriquement forcer votre CPU à révéler des données Secret telles que les clés privées utilisées pour contrôler votre Bitcoin. »

Vecteurs d'attaque

Il est important de noter que le conseil de stocker les clés privées sur un appareil sécurisé n'est pas nouveau. (Les développeurs de Crypto mettent en garde depuis longtemps contre le stockage de clés privées sur des ordinateurs portables ou d'autres appareils interagissant avec Internet.)

Mais les raisons peuvent ne pas être évidentes pour les nouveaux utilisateurs. Même si le Bitcoin et les autres cryptomonnaies sont des protocoles sécurisés, ils doivent interagir avec l'internet ouvert et les ordinateurs classiques. En bref, stocker des clés privées si près d'internet peut potentiellement exposer les utilisateurs au piratage et au vol.

Et les nouvelles vulnérabilités du processeur aggravent encore la situation, car une chaîne d’actions peut conduire à des erreurs et à des compromissions.

« Si le problème de mémoire protégée est réel, alors un plugin de navigateur ou même un site Web peut accéder à vos clés privées », a déclaré Jonas Schnelli, contributeur de Bitcoin CORE .

Les détails complets du problème n'étant T encore publics, les vecteurs d'attaque précis restent flous. Cependant, d'autres ont suggéré qu'un impact similaire pourrait être probable.

« Pour être touché par cette attaque, il vous suffirait de cliquer sur un LINK par accident et vous pourriez vous retrouver sur un site Web qui diffuse une mauvaise publicité avec un code malveillant qui vole vos données », a ajouté Bishop.

Et même si ces scénarios peuvent paraître farfelus, la plupart des logiciels malveillants actuels exploitent des vulnérabilités similaires, non encore corrigées. Il est tout simplement impossible de savoir qui et quand ils frapperont réellement.

Des correctifs pour systèmes d'exploitation sont désormais disponibles, que les utilisateurs peuvent utiliser pour mettre à jour leurs appareils Windows, Mac et Linux. Cependant, pour les utilisateurs de Cryptomonnaie , la meilleure solution est de ne pas stocker de clés privées sur un appareil connecté à Internet, une recommandation courante bien avant cette vulnérabilité.

Une option consiste à stocker les clés privées sur un « portefeuille matériel », comme Ledger ou Trezor. Ces petits appareils ne sont peut-être pas aussi faciles à utiliser, mais ils sont plus sécurisés car ils ne sont pas connectés à Internet.

Pavol Rusnak, directeur technique de SatoshiLabs, la société derrière Trezor, est allé jusqu'àargumenter « Utiliser un portefeuille [ Ethereum ] est désormais plus important que jamais ! » ... plaisanté« Je parie que Spectre et Meltdown sont la meilleure chose qui aurait pu arriver aux entreprises de portefeuilles froids de Cryptomonnaie . »

Échangez des trésors

Au-delà des appareils grand public, une cible beaucoup plus grande et plus inquiétante est celle des échanges et des entreprises de Cryptomonnaie , qui stockent les clés privées de Cryptomonnaie pour des millions d'utilisateurs à la fois.

Certaines plateformes d'échange de Cryptomonnaie utilisent des services d'hébergement cloud tels qu'Amazon Web Services et Google Cloud pour gérer leurs sites Web, plutôt que de créer leurs propres serveurs.

Bien que ces plateformes facilitent la gestion des sites Web, elles sontparticulièrement vulnérables à ces attaques. Un pirate pourrait théoriquement lancer un serveur utilisant le même matériel qu'une startup de Cryptomonnaie exécutant des opérations sur une telle plateforme cloud et avoir soudainement accès à toutes ses données.

Dans le monde de la Crypto , un pirate informatique pourrait hypothétiquement utiliser ce vecteur d’attaque pour voler des clés privées.

D' un côté, de nombreuses plateformes cloud parmi les plus populaires ont rapidement déployé des correctifs. De l'autre, les chercheurs craignent que des vulnérabilités profondément ancrées puissent engendrer des variantes non corrigées, avec des effets persistants à venir.

Bitcoin dans le noirimage via Shutterstock