Une faille de Linux rendra-t-elle les Bitcoiners vulnérables aux attaques ?

Une faille de sécurité dans un programme cryptographique clé a été révélée dans le package Linux gnuTLS, un composant optionnel pour les applications clientes Bitcoin et Altcoin tierces.

La bibliothèque SSL gnuTLS est incluse dans de nombreux packages open source tels que ceux des distributions Red Hat, Ubuntu et Debian de Linux.

Découvert à l'originelors d'un auditde gnuTLS pour Red Hat, les effets de la faille sont de grande envergure pour les développeurs.

ExpliquéArs Technicadans son rapport :

« [Les] attaques contournent la Technologies la plus largement utilisée pour empêcher les écoutes clandestines sur Internet, grâce à une vulnérabilité extrêmement critique dans une bibliothèque de codes cryptographiques largement utilisée. »

Le bug, explique la source, est dû à des commandes dans une section du code gnuTLS gérant la vérification des certificats. On estime que l'erreur pourrait avoir été introduite dès 2005, bien qu'elle ait été découverte.le 4 mars.

En outre, plus de 200 systèmes d’exploitation et applications différents pourraient être affectés.

Bug GnuTLS VRAIMENT MAUVAIS : contournement de SSL, TLS sur plus de 200 systèmes d'exploitation différents, applications qui s'appuient sur GnuTLS pour les opérations SSL et TLS<a href="http://t.co/Tj7nA9R0ih">http:// T.co/Tj7nA9R0ih</a>





– Équipe Cymru (@teamcymru) 5 mars 2014

La faille, qui implique des erreurs avec plusieurs appels « goto cleanup », est potentiellement dangereuse car elle permet effectivement à quelqu'un d'effectuer une « attaque de l'homme du milieu », par laquelle les communications cryptées entre un client et le serveur Web peuvent être exploitées avec des certificats spécialement conçus.

Red Hat a écrit dans son évaluation :

« Un attaquant pourrait utiliser cette faille pour créer un certificat spécialement conçu qui pourrait être accepté par gnuTLS comme valide pour un site choisi par l'attaquant. »

Impact sur les utilisateurs de Bitcoin

Malgrél'alarme déclenchée par le bugDans la communauté technologique au sens large, le développeur principal de Bitcoin , Jeff Garzik, a déclaré à CoinDesk que le problème n'aurait probablement pas d'impact substantiel sur Bitcoin, même si certains seront affectés.

Garzik expliqué :

Le bug gnuTLS est assez grave, mais très peu de personnes utilisent gnuTLS dans la communauté Bitcoin . OpenSSL est la norme.

Garzik a indiqué que l'utilisation d'OpenSSL atténue le risque de fork qui est présent lors de l'utilisation d'autres bibliothèques concurrentes pour des logiciels clés, tels que gnuTLS.

Il a également déclaré que les projets utilisant OpenSSL, Mozilla NSS, Crypto++ ou une autre bibliothèque de Crypto ne sont pas concernés par le bug. Cependant, toute personne ayant compilé Bitcoind avec ce package SSL aurait une implémentation vulnérable, a-t-il noté.

Ankur Nandwani, développeur chez Bitmonet, a suggéré que les utilisateurs de portefeuilles hébergés et les utilisateurs d'échanges de Bitcoin seraient les plus touchés, mais a déclaré qu'il existe des protections simples pour éviter les problèmes.

Dans les deux cas, un attaquant peut intercepter les identifiants des utilisateurs lorsqu'ils tentent de se connecter à leur compte. Pour réduire le risque de compromission des portefeuilles en ligne et des identifiants d'échange, il est essentiel que chacun utilise l'authentification à deux facteurs.

Nandwani a déclaré que le bug est la preuve que les utilisateurs de Bitcoin devraient réduire leur dépendance aux portefeuilles et aux échanges en ligne.

Mise en œuvre d'un correctif

L'équipe gnuTLS adepuis annoncé Une mise à jour corrigeant la faille est désormais disponible pour les utilisateurs et développeurs de Bitcoin et d'altcoins nécessitant ce correctif. Red Hat a indiqué aux utilisateurs de gnuTLS de mettre à jour leurs packages pour corriger le problème et a précisé que toutes les applications liées à la bibliothèque gnuTLS doivent être redémarrées pour que la mise à jour soit effective.

Bien que les erreurs soient résolues dans la version 3.2.12, elles persistent encore parmi le public, ce qui a suscité des comparaisons avec d'autres erreurs extrêmes dans l'histoire des défauts de codage.

Gnu a une faille de sécurité réseau encore pire que celle d'Apple... Et depuis 2005...<a href="http://t.co/iiuxG10XdK">http:// T.co/iiuxG10XdK</a>

— JoergR (@JoergR)5 mars 2014

Pour l'explication complète de l'erreur et la marche à suivre si vous êtes concerné,Cliquez ici.

Crédit image :Code informatiquevia Shutterstock