Audit de Sécurité de Bitcoin Core
Bitcoin Core a réussi son tout premier audit de sécurité réalisé par un tiers, confirmant que le logiciel qui sécurise le plus grand réseau décentralisé au monde est très mature. Cet examen, effectué par la société de sécurité française Quarkslab et commandé par l’OSTIF au nom de Brink, a porté sur les composants les plus sensibles du projet, notamment la couche peer-to-peer (P2P) et la logique de validation des blocs, sur une période de 104 jours, entre mai et septembre.
Selon le rapport, la base de code de Bitcoin Core est « la plus mature et la mieux testée », ont évalué les auditeurs, malgré sa taille, qui comprend plus de 200 000 lignes de code en C++ et plus de 1 200 tests déjà en place. L’équipe n’a trouvé aucune vulnérabilité de gravité élevée ou moyenne, identifiant seulement deux problèmes de faible gravité et une série de suggestions d’amélioration, principalement liées aux harnais de fuzzing et à la couverture des tests.
Aucune des conclusions n’a eu d’impact sur le consensus, la résilience aux dénis de service ou la validation des transactions. Les examinateurs n’ont trouvé aucun bug exploitable. L’audit a mis l’accent sur la couche de mise en réseau P2P de Bitcoin, le composant responsable de la transmission des blocs, des transactions et de la découverte des pairs à travers environ 125 connexions par nœud.
Les examinateurs ont signalé qu’il n’y avait aucun cas où des données malveillantes pouvaient contourner la validation ou le mécanisme d’interdiction conçu pour isoler les pairs malveillants. L’équipe a également examiné la logique du mempool, les transitions d’état de la chaîne et la gestion des réorganisations, tous des domaines où des bugs subtils pourraient créer des perturbations à l’échelle du réseau. Aucun chemin exploitable n’a été identifié dans ces domaines non plus.
« Aucun problème de sécurité significatif n’a été identifié. La plupart des recommandations portent sur le raffinement des harnais de fuzzing existants pour améliorer encore leur efficacité et leur couverture », conclut le rapport.
Débat entre Bitcoin Core et Bitcoin Knots
L’audit intervient au milieu d’un récent différend entre les partisans de Bitcoin Core et ceux de Bitcoin Knots. Ce débat, qui dure depuis des mois et a été déclenché par la mise à jour Bitcoin Core v30, porte sur la question de savoir si des données non financières devraient être autorisées sur la blockchain.
Les critiques avertissent que ces changements pourraient « ouvrir les vannes » au spam. Les partisans de Bitcoin Knots soutiennent que filtrer de telles données est nécessaire pour empêcher que du contenu illégal ou contraire à l’éthique ne soit intégré dans le registre de Bitcoin. Cependant, les développeurs de Bitcoin Core affirment que l’imposition de restrictions nuirait à la cohésion du réseau, confondrait les utilisateurs et irait à l’encontre des principes fondamentaux de la technologie en matière d’ouverture et de neutralité.
Selon Alex Thorn, responsable de la recherche chez Galaxy Digital, la plupart des investisseurs institutionnels en Bitcoin semblent indifférents à ce différend. D’après le sondage de Thorn auprès de 25 clients institutionnels, 46 % n’en étaient pas conscients, 36 % ont déclaré qu’ils s’en moquaient, et les 18 % restants ont tous pris parti pour Bitcoin Core.
