Des failles dans les blockchains Bitcoin et Ethereum? Un rapport met en doute leur caractère décentralisé

Le rapport, publié par la société de sécurité Trail of Bits, met en doute le caractère décentralisé des principales blockchains que sont Bitcoin et Ethereum.

© Rob Engelaar-AFP 200 millions d'euros de rançons ou de versements frauduleux quitteraient la France chaque année, du fait des crypto-virus ou des "fraudes au président" auprès de petites entreprises, selon l'étude de SystemX.

C'est un rapport qui ne risque pas de plaire à l'écosystème crypto. Intitulé "les blockchains sont-elles décentralisées ?", il a été écrit par la société de sécurité Trail of Bits, suite à une demande de l'agence du département de la défense des Etats-Unis (DARPA).

Selon ce rapport, il existerait des failles qui pourraient affecter les blockchains Bitcoin et Ethereum.

"L'immuabilité d'une blockchain peut être brisée non pas en exploitant des vulnérabilités cryptographiques, mais plutôt en altérant les propriétés des réseaux et des protocoles de consensus d'une blockchain", considère le rapport.

Le rapport cite à cet égard le réseau Tor, où "environ 55 % des nœuds bitcoin étaient adressables uniquement via Tor en mars 2022. Un nœud de sortie Tor malveillant peut modifier ou supprimer le trafic", indique le rapport.

Par ailleurs, pour qu'une blockchain soit distribuée de manière optimale, il doit y avoir un coût dit "Sybil".

"Il n'existe actuellement aucun moyen connu de mettre en œuvre les coûts Sybil dans une blockchain sans permission comme Bitcoin ou Ethereum sans employer un tiers de confiance (TTP) centralisé. Jusqu'à ce qu'un mécanisme permettant d'appliquer les coûts Sybil sans TTP soit découvert, il sera presque impossible pour les blockchains sans permission d'atteindre une décentralisation satisfaisante", estime en outre le rapport.

Ce rapport s'inscrit à contre-courant de la philosophie de décentralisation mise en exergue par l'industrie des cryptomonnaies.

"Le niveau 'infrastructure/consensus' est difficile à attaquer sur du Proof-of-Work, mais ça ne le rend pas en théorie inattaquable. La nécessité pour les blockchains est d’atteindre une taille et une décentralisation suffisantes. Pour Bitcoin et Ethereum, on peut considérer que cela est atteint, même si le risque zéro n’existe pas. Mais ça n’empêche pas d’autres blockchains plus petites de se faire attaquer même au niveau de l’infrastructure ou du consensus", explique à BFM Crypto Alexandre Stachtchenko, cofondateur de Blockchain Partner, directeur blockchain et cryptos chez KPMG.

Ce dernier est à l'origine d'un récent rapport de KPMG sur la cybersécurité dans les cryptomonnaies. Selon ce rapport, il apparait que les failles de sécurité sur les blockchains s'observent d'avantage sur les applications qui se greffent aux différentes blockchains. A ce jour, on observe notamment de plus en plus d'attaques dans la finance dite décentralisée, plutôt que dans la finance centralisée.