Audit de Sécurité de Bitcoin Core
Bitcoin Core, l’implémentation logicielle largement utilisée du protocole Bitcoin, a récemment terminé son tout premier audit de sécurité public réalisé par un tiers. Cette évaluation n’a révélé aucune vulnérabilité à fort impact et a introduit de nouveaux outils de test qui renforcent la résilience à long terme du réseau.
Détails de l’Audit
Cet audit a été mené par la société de cybersécurité Quarkslab, financée par Brink et coordonnée par le Open Source Technology Improvement Fund (OSTIF). Cet engagement marque une étape majeure dans le cycle de vie de la sécurité de Bitcoin, fournissant un examen indépendant d’un logiciel qui sécurise des trillions de dollars de valeur.
Depuis sa création en 2009, Bitcoin Core a évolué de manière significative, avec plus de 46 000 commits et contributions de dizaines de développeurs. Malgré sa maturité, le projet n’avait jamais subi d’audit public complet par une entreprise externe, une lacune que cette révision visait à combler.
Résultats de l’Audit
Réalisé entre mai et septembre, l’audit s’est principalement concentré sur la couche de mise en réseau pair-à-pair, l’une des surfaces d’attaque les plus exposées de Bitcoin. Quarkslab a également élargi son analyse à la logique de mempool, à la gestion de la chaîne, à la validation du consensus et aux voies de traitement des transactions.
L’équipe a utilisé une combinaison de révisions manuelles de code, d’analyses dynamiques et de techniques avancées de fuzzing, certaines étant nouvellement introduites dans la base de code de Bitcoin Core. Les résultats étaient rassurants : les auditeurs ont identifié deux problèmes de faible gravité et 13 recommandations d’information, aucune d’entre elles n’ayant d’impact sur la sécurité selon les classifications internes de vulnérabilité de Bitcoin Core.
Quarkslab a noté que l’architecture et la qualité du code de Bitcoin Core témoignent d’un « travail exceptionnel ».
De plus, des approches modernes de fuzzing, comme l’initiative Fuzzamoto en cours de Brink, pourraient révéler des cas limites encore plus profonds lors des futurs cycles de test. Le rapport complet et les artefacts de soutien sont disponibles publiquement dans les dépôts de Quarkslab, marquant une nouvelle ère de transparence pour le logiciel le plus critique de Bitcoin.
Conclusion
Quelles parties de Bitcoin Core ont été examinées ? Principalement la couche P2P, ainsi que la logique de mempool, de consensus et de gestion de chaîne.
