À la recherche d'une norme de sécurité Cryptomonnaie

Les récents de Bitstampproblèmes de piratage informatique suggèrent que la sécurité du monde Bitcoin semble se dégrader plutôt que de s'améliorer. Que ce soit en raison d'attaques externes ou d'irrégularités internes, présumé à Mt Gox, il est clair que quelque chose doit changer.

Lorsque le portefeuille Bitcoin Blockchain a connu son propre problèmes de sécurité En décembre, l'expert en cryptographie décentralisée Emin Gün Sirer a noté que les pratiques de sécurité standard des entreprises Technologies ne résisteraient pas dans le monde du Bitcoin .

L'enjeu était trop important, a-t-il déclaré. Les réseaux sociaux peuvent détenir des photos de vos animaux de compagnie, mais votre compte Bitcoin détient quelque chose de plus précieux. Il semble raisonnable que le monde des Cryptomonnaie soit soumis à un niveau de responsabilité plus élevé que, par exemple, Twitter (même si un compte Twitter piraté peut encore avoir de sérieuses conséquences). résultats dévastateurs).

« Nous avons assurément besoin de meilleures pratiques de sécurité, comme l'ont démontré les pannes spectaculaires et constantes des plateformes d'échange de Bitcoin », a-t-il récemment déclaré à CoinDesk . « Ces services connaissent des pannes au rythme d' une panne majeure tous les deux mois, laissant de nombreuses personnes désemparées sur leur passage. »

Alors, si nous acceptons que les entreprises qui détiennent des fonds réels pour leurs clients doivent avoir des normes de sécurité plus élevées, quelles devraient être ces normes ?

Conseils des banquiers

Si les entreprises Bitcoin ne devraient T se tourner vers le secteur Technologies pour leur sécurité, elles devront chercher ailleurs. Le secteur bancaire pourrait peut-être leur prodiguer de judicieux conseils. Depuis des années, les banques tentent vaillamment d'empêcher les pirates informatiques de voler les données de leurs clients. Les entreprises Bitcoin pourraient-elles en Guides des leçons ? Compte tenu de l'influence de JP Morgan Chase. pertes récentes, peut-être pas.

Le piratage de JP Morgan Chase était indéniablement grave, mais il existe une différence fondamentale avec un compte Bitcoin piraté. Les clients de JP Morgan ont perdu leurs informations personnelles, mais pas leur argent. Si un pirate cible votre compte Bitcoin , vos fonds disparaissent.

L'ancien enquêteur en criminalistique numérique Michael Perklin est président de laConsortium de certification des Cryptomonnaie (C4), qui a développé une certification pour les professionnels des Cryptomonnaie . Il soutient que les entreprises Bitcoin doivent aller plus loin que les banques en matière de sécurité :

« Si quelqu'un s'introduit dans une banque et que quelqu'un modifie sa base de données pour dire "Maintenant, j'ai un million de dollars de plus qu'avant", ou s'il transfère des fonds de la banque vers une autre banque, alors tout cela est traçable et réversible. »

À l'inverse, il a soutenu que les transactions Bitcoin sur la blockchain ne le sont T, comme certains échanges et autres services Bitcoin l'ont découvert à leurs dépens.

« Avec le Bitcoin, une fois que vous avez pris les clés et les avez transférées à quelqu'un d'autre, il n'y a aucun moyen de les récupérer sans recourir aux forces de l'ordre traditionnelles », a-t-il averti.

Si les entreprises Bitcoin ne peuvent T se tourner vers la Silicon Valley ou les banques, où peuvent-elles se tourner ? Peut-être vers elles-mêmes.

« Il est grand temps que les bourses réalisent qu'elles sont dans le même bateau, que la perception que le Bitcoin n'est pas sûr nuit à l'ensemble de l'écosystème, et qu'il est dans leur intérêt d'établir des pratiques (comme l'utilisation de bases de données solides, de portefeuilles multisig, de preuves de réserves en temps réel et d'informatique fiable) pour l'ensemble du secteur », a déclaré Sirer.

Un meilleur logiciel est nécessaire

Un domaine dans lequel les échanges pourraient s'améliorer est le développement de logiciels, affirme Charles Hoskinson, expert en cryptographie et ancien PDG d' Ethereum, qui travaille actuellement sur un projet éducatif autour de la Cryptomonnaie.

« Les plateformes d'échange doivent se ressaisir et créer un organisme de normalisation pour la preuve de solvabilité, ainsi que des contrats intelligents pour réguler les comportements et restaurer la confiance », a-t-il déclaré, ajoutant que de nombreuses plateformes d'échange sont des start-ups aux ressources limitées. « C'est l'autre problème : le logiciel est assez médiocre. »

Créer des logiciels sécurisés est complexe. En 2003, Microsoft a gelé l'ensemble de son cycle de développement pendant des mois et a dû former ses développeurs de A à Z pour qu'ils écrivent du code plus sécurisé. L'entreprise a commencé à interdire certaines fonctions de différentes bibliothèques logicielles, interdisant ainsi à ses développeurs de les utiliser.

Microsoft a même conçu un processus complet, appelé leCycle de vie du développement de la sécurité(SDL), pour créer un logiciel à toute épreuve (ou, à tout le moins, contenant moins de trous qu'un morceau de gruyère moyen).

Cependant, le développement logiciel seul ne suffit pas (et dans le cas de Bitstamp, on T sait pas exactement où se trouvait la vulnérabilité qui a permis aux pirates de voler des bitcoins à l'entreprise). D'autres aspects sont également à prendre en compte, notamment la gestion de l'infrastructure. Des éléments tels que contrôle des changements et correctifs de sécuritésont essentiels au fonctionnement d’un environnement sécurisé.

Les processus internes doivent également être améliorés, affirment les experts. La réalisation de vérifications d'antécédents appropriées sur le personnel responsable des clés en est un exemple, a soutenu Perklin.

La bonne nouvelle est que certains de ces processus sécurisés peuvent être intégrés à la Technologies utilisée. La Technologies multi-signatures en est un bon exemple. Vous pouvez VET les dirigeants responsables de l'accès aux clés privées, mais un système exigeant plusieurs d'entre eux pour authentifier une transaction contribuerait à minimiser, voire à éliminer totalement, le risque de corruption et de chantage.

Prendre soin des affaires

Si elles ne prennent T cette mesure, les organisations détenant des cryptomonnaies personnelles risquent de devoir les réglementer à leur place. Trop de vols importants pourraient intéresser les décideurs politiques, qui pourraient prendre les choses en main.

« Si les plaintes des clients sont nombreuses, les régulateurs pourraient être contraints d'intervenir avec leur approche autoritaire habituelle », a déclaré Gun Sirer, ajoutant qu'il espérait que le secteur se ressaisirait avant que cela n'arrive. « Je suis favorable à ce que le secteur s'assainisse. »

Il y a certainement assez d'argent circulant dans la communauté Bitcoin pour payer quelques programmeurs expérimentés. CoinDesk État du Bitcoin Un rapport de janvier a documenté des investissements en capital-risque dans le Bitcoin atteignant 433 millions de dollars, dont 335 millions de dollars en 2014. Cela représente beaucoup de salaires pour des responsables de la sécurité technique.

Rechercher une imagevia Shutterstock