Criminalité décentralisée contre police distribuée

Le mois de juillet 2017 a connu une histoire rocambolesque digne des meilleurs scénarios hollywoodiens et dont nul n’a entendu parler dans la presse généraliste : le vol de 85 millions de dollars d’Ethers par des justiciers qui cherchaient simplement à les mettre à l’abri, et les ont rendus jusqu’au dernier. Coup de chapeau (vous comprendrez plus tard que c’est un jeu de mots) aux Avengers de la blockchain.

Introduction

La blockchain Ethereum permet l’échange de sa devise, l’Ether, mais également la création de Smart Contracts, qui sont des programmes informatiques exécutés sur la blockchain.

A l’aide de ces programmes informatiques, il est possible de coder des portefeuilles collectifs. Ces portefeuilles, dits multi-signatures, ne peuvent s’ouvrir que si un certain nombre de participants préalablement autorisés signent une transaction. Par exemple, le cas classique est que 3 personnes (Alice, Bob et Trent), disposant chacun d’une clé privée, peuvent valider des transactions à 2. Il faut donc 2 signatures (Bob et Alice ou Bob et Trent ou Alice et Trent) pour valider un paiement.

Ce type de technologie est très utilisé pour les comptes d’entreprise (ou d’organisations quelles qu’elles soient).

Comme souvent, ces programmes open sources sont largement diffusés sur internet, permettant à la communauté des utilisateurs d’Ethereum de faire usage des ces technologies librement pour leur propre compte.

Ainsi, de nombreux comptes multi-signatures ont été créés, avec un programme particulier appelé Parity…

Les faits

Le 19 juillet 2017, des pirates informatiques ont exploité une faille jusqu’alors inconnue dans le programme Parity.

Ils ont alors attaqué 3 portefeuilles collectifs construits à partir de cette technologie, et récupéré les 150 000 ethers qu’ils détenaient, soit 30 millions de dollars.

L’alerte a rapidement été donnée dans la communauté concernant ce méfait.

A ce moment-là, plus de 337 000 ethers, soit 80 millions de dollars, étaient encore à risque dans d’autres portefeuilles utilisant la même technologie.

C’est alors qu’entrent en scène les whites hats. Le terme de white hat est courant en sécurité informatique, et Wikipédia en donne la définition suivante :

Un white hat (en français : « chapeau blanc ») est un hacker éthique ou un expert en sécurité informatique qui réalise des tests d’intrusion et d’autres méthodes de test afin d’assurer la sécurité des systèmes d’information d’une organisation. Par définition, les « white hats » avertissent les auteurs lors de la découverte de vulnérabilités. Ils s’opposent aux black hats, qui sont les hackers mal intentionnés.

Ce groupe d’une trentaine de personnes va alors s’emparer des fonds encore à risque avant que les cybercriminels ne le fassent.

Ils vont donc récupérer et sécuriser les ethers restants jusqu’au dernier, et vont ensuite se faire connaître de la communauté Ethereum pour prendre contact avec les propriétaires légitimes et ainsi leur restituer leur pécule.

Le 31 juillet, c’était chose faite, puisqu’ils ont rendu les dernières devises qu’ils détenaient au titre de ce vol salvateur.

Les leçons de ce sauvetage

Les incidents sont nombreux sur les crypto-devises, et les plus spectaculaires font souvent la une des journaux communs (mais étrangement pas celui-là).

Deux leçons peuvent être tirées de cette histoire abracadabrantesque.

Tout d’abord, qu’il reste du travail à faire pour les technologies blockchain. Ethereum est, à l’inverse de Bitcoin, une solution jeune, et elle manque encore de maturité. Les standards doivent encore être construits, testés et sécurisés.

Ensuite, qu’il y a du monde pour faire le travail. Cette opération parfaitement réalisée témoigne de la force de la communauté, de sa compétence et de sa détermination à sécuriser et à améliorer la technologie, en l’occurrence Ethereum.

Nul doute donc que cet événement, loin d’affaiblir Ethereum, participe au contraire à son enrichissement et son amélioration.