La blockchain répond à la controverse sur la sécurité : « Nous devons faire mieux »

Ces dernières semaines ont été terribles pour le fournisseur de portefeuilles Bitcoin Blockchain.

D'abord, le chef de produit de l'entreprise s'est disputé en ligne avec un ingénieur de Coinbase sur Reddit. Ensuite, le portefeuille Blockchain a étéextrait de Bitcoin.org, un site Web d'information géré par les développeurs de Bitcoin CORE et les membres de la communauté, pour une sécurité médiocre.

L'entreprise s'est retrouvée à promettre publiquement de rembourser ses clients après une faille dans un générateur de nombres aléatoires qui a compromis des centaines d'adresses. De plus, des rapports en ligne non fondéssuggéréque des bitcoins avaient été volés à cause de ce problème.

Alors, qu’est-ce qui s’est mal passé et que va-t-il se passer ensuite ?

Commençons par le problème le plus récent. L'entreprise a été contrainte de faire uneDéclaration de transparence de sécurité Sur son blog et sur Reddit, il a admis qu'une erreur de développement avait entraîné un problème de génération de clés privées. Les clés privées (en fait, les adresses privées utilisées pour stocker les Bitcoin) étaient générées avec un faible degré d'entropie, ce qui les rendait faciles à récupérer pour les attaquants.

Retour de flamme en ligne

Blockchain a proposé de rembourser tous les clients pour les fonds perdus, mais leréaction en ligneétait toujours énorme, avec des commentateurs accusant l'entreprise de mauvais travail de développement et de problèmes de gestion.

Les commentateurs de Bitcoin Talk ont ​​critiqué la Blockchain pour plusieurs choses, notamment le fait de permettre aux développeurs de pousser le code vers un environnement de production.

Un commentateur de Reddit dit:

« C'est vraiment simple. Le b.a.-ba du web. Un développeur ne devrait absolument pas avoir la possibilité de mettre quoi que ce soit en production, car s'il le faisait, il finirait par faire une bêtise. »

« Je ne pense T qu'il soit exact de dire qu'il s'agit d'une véritable critique sur Reddit », a déclaré le PDG de Blockchain, Nicolas Cary, à CoinDesk, à propos des accusations de mauvais processus de développement.

Il a ajouté :

Je pense que quelques membres de la communauté, qui s'expriment ouvertement et dont l'image de marque est en jeu, portent des accusations. Nous les écoutons. Nous savons que nous devons faire mieux. Notre équipe de développement est très solide.

« Nous avons développé une quantité impressionnante de logiciels », a-t-il poursuivi. « Nous avons toujours publié nos produits en toute sécurité, nous avons des responsables de l'assurance qualité et une équipe de sécurité. Le véritable message à la communauté est que nous allons nous améliorer. Nous savons que nous devons faire mieux. Parallèlement, nous avons l'humilité de faire ce qui est juste et de prendre soin de nos utilisateurs en cas de problème. »

Peter Todd, développeur CORE de Bitcoin , également critiquél'entreprise n'a qu'un référentiel de tests manuels dans son référentiel GitHub, plutôt qu'une suite de tests entièrement automatisée.

Les dirigeants de Blockchain n'ont pas répondu officiellement au tweet de Todd. Ils n'ont pas non plus confirmé l'existence d'une suite de tests automatisés au sein de l'entreprise, ni discuté de leur processus de développement, ni commenté laSérie A de 30,5 millions de dollarsL'accord de financement Blockchain a été finalisé en octobre.

Les Redditors avaientcritiquéL'entreprise n'a pas renforcé les mesures de sécurité liées à l'argent. Des sources proches de l'entreprise ont souligné en privé qu'il faut du temps à une entreprise fraîchement financée pour utiliser cet argent et procéder aux changements internes nécessaires.

Le retrait de la cote de Bitcoin.org

Tout cela s'est produit quelques jours seulement après que les organisateurs deBitcoin.org a retiré Blockchain de la liste des portefeuilles qu'il propose aux utilisateurs de Bitcoin , les commentateurs suggérant qu'il « devrait être réexaminé avec des critères raisonnables au moins aussi exigeants que les autres portefeuilles ».

Dans le discussion Dans la Request d'extraction GitHub concernant la publication du portefeuille sur Bitcoin, le mainteneur du site, Saïvann Carignan, a souligné plusieurs facteurs. Le premier est lié aux bugs et aux pertes, qui ont été nombreux, a-t-il précisé.

Le deuxième point concernait la sécurité des sauvegardes et des mots de passe. « [La blockchain] n'a T adopté les fonctionnalités de sécurité qui deviennent progressivement la norme dans d'autres portefeuilles (par exemple, BIP32, phrases de passe aléatoires, sauvegarde à l'installation, rotation des adresses, 2FA par défaut) », a-t-il déclaré.

Il a également critiqué l'entreprise pour son manque de transparence et pour ne pas avoir réinitialisé le code source de l'application, ajoutant :

Pour être honnête, chacun de ces problèmes aurait bloqué ou retardé l'inscription de la blockchain si le portefeuille avait été soumis aujourd'hui. Par conséquent, je pense que la prochaine étape logique pour renforcer la sécurité et réduire les risques pour l'utilisateur est de relever la barre pour la blockchain, comme pour les autres portefeuilles.

Ben Reeves, directeur technique de Blockchain, a publié une réponse sur GitHub, répondant aux plaintes et promettant plusieurs changements. Cette réponse a été saluée par les autres participants, les critiques initiales portant sur l'historique du service Blockchain. Le consensus est donc resté de supprimer le portefeuille pendant au moins 60 jours, puis de laisser Blockchain le soumettre à nouveau.

Carignan a reconnu les plaintes selon lesquelles il n'y avait pas de Juridique définie pour répertorier ou supprimer les portefeuilles de Bitcoin.org, et a ouvert une autre discussiondévelopper un processus standard.

« Nous sommes impatients de soumettre à nouveau notre candidature. Nous respectons leur décision, mais nous avons finalement longuement défendu notre position. Nous restons la seule entreprise open source », a déclaré Cary, ajoutant que l'entreprise apportait des modifications à ses logiciels et que le public pouvait s'attendre à « des nouveautés prometteuses sur le marché en 2015 ».

Un problème FinTech plus large

La blockchain a commis des erreurs, mais Emin Gün Sirer, professeur associé d’informatique à l’Université Cornell et expert en matière de sécurité du Bitcoin , a mis en garde contre une chasse aux sorcières.

Il a dit :

« Il faut reconnaître qu'ils ont réalisé que leurs processus étaient défaillants lorsqu'ils ont procédé à des changements de personnel en interne pour nommer de nouveaux responsables de la sécurité. J'ai eu des conversations privées avec eux et il semble qu'ils s'efforcent de corriger les failles au fur et à mesure qu'elles apparaissent. »

Ces problèmes de sécurité sont le signe d’un problème plus large dans le domaine des Cryptomonnaie , a averti Sirer.

« Il n'y a pas de place pour la moindre erreur, et nous découvrons que les pratiques standard qui sont normales dans la Silicon Valley sont inacceptables dans le monde du Bitcoin parce que les enjeux sont très importants », a-t-il déclaré, arguant que le taux de défaillances de sécurité est élevé dans l'ensemble du secteur du Bitcoin .

Querelle en ligne

Cary a également qualifié le timing de toute cette affaire de « sous-optimal ». Cela semble exact, compte tenu d'une dispute en ligne qui a éclaté entre Coinbase et les dirigeants de Blockchain au début du mois au sujet de la sécurité des portefeuilles Bitcoin , au cours de laquelle les employés de Blockchain ont critiqué le modèle opérationnel de Coinbase.

Tout a commencé avec unPublication Reddit par Charlie Lee, le créateur du Litecoin, qui a pris un emploi chez CoinbaseIl y a 18 mois, Lee, désormais ingénieur en chef de l'entreprise, souhaitait clarifier la situation concernant la sécurité du service de portefeuille centralisé.

Lee a décrit les mesures prises par le service pour la sécurité de ses utilisateurs. Il a notamment cité les demandes par défaut d'authentification à deux facteurs (utilisation d'un élément personnel, comme un téléphone, en plus d'un élément connu, comme un mot de passe) pour les transactions supérieures à 100 $. Le service propose également un coffre-fort Bitcoin pour ses utilisateurs et stocke 97 % de ses propres cryptomonnaies en stockage à froid, a déclaré Lee (CoinDesk a couvertcertaines des sécurités de Coinbase avant).

Toutes ces informations sont publiques. Le point intéressant se trouve dans un passage du message de Lee, où il compare la sécurité de CoinBase à celle de la blockchain. Un passage du message (supprimé ultérieurement) disait :

« Cependant, au cours de l'année écoulée, Coinbase a continué d'introduire de nouvelles fonctionnalités de sécurité tandis que la sécurité du portefeuille Blockchain est restée exactement la même et s'est sans doute aggravée. »

Cela a conduit à une riposte furieuse de Keonne Rodriguez, chef de produit chez Blockchain, quicritiquéLee pour avoir poursuivi ses propres intérêts et l’a comparé à « un avocat louche qui poursuit une ambulance ».

Une approche sérieuse

Les insultes et les critiques T servent à rien, a suggéré Michael Perklin, président de Bitcoinsultants et spécialiste de la sécurité Bitcoin . Perklin, également directeur de la Bitcoin Alliance of Canada, possède une expérience en sécurité dans d'autres secteurs.

« J'apprécie les discussions pertinentes, fondées sur le bien-fondé des arguments », conclut Perklin. « Mais quand quelqu'un jette de la boue sur quelqu'un d'autre, il doit d'abord se salir lui-même. »

Ces commentaires ont tous été formulés avant la dernière débâcle sécuritaire de la blockchain. Qu'en pense Cary aujourd'hui ? Il tient toujours à établir des distinctions entre les deux modèles.

Cary a dit :

Nous avons un profond respect pour l'action de Coinbase. Nous ne sommes pas là pour lancer des accusations contre qui que ce soit. Nous souhaitons une entreprise qui a une vision à long terme pour le succès du Bitcoin, qui prend très au sérieux la protection des consommateurs et qui les accompagne en cas de problème, tout en conservant une approche non dépositaire de la gestion des risques.

Cary a déclaré que l'entreprise était désireuse de s'engager activement et d'être à l'écoute. « Nous prenons tout cela très au sérieux. Nous sommes là pour le long terme », a-t-il conclu.

Homme d'affaires équilibrant l'image via Shutterstock