Critiques de Peter Todd sur Ripple
Dans un récent post sur les réseaux sociaux, Peter Todd, le célèbre développeur canadien de Bitcoin, souvent considéré comme le candidat le plus probable à Satoshi Nakamoto dans un documentaire HBO de 2024, a vivement critiqué Ripple suite à la découverte d’une porte dérobée dans la bibliothèque JavaScript utilisée pour le XRP Ledger (XRPL). Todd a rappelé qu’il avait averti d’une telle vulnérabilité il y a déjà une décennie.
La découverte de la porte dérobée
Comme l’a rapporté U.Today, le CTO de Ripple, David Schwartz, a récemment mis en garde contre du code malveillant dans cette bibliothèque, initialement détecté par Aikido Security. Cette porte dérobée permettait d’envoyer des clés privées vers un domaine suspect, offrant ainsi aux attaquants la possibilité de dérober les clés privées des utilisateurs des versions compromises du kit de développement logiciel (SDK) de XRPL.
Les avertissements de Todd
Plus tôt, Todd avait publié un article affirmant que la sécurité de Ripple pourrait être compromise parce qu’ils n’avaient pas fourni de signature PGP cryptographique pour vérifier leur code. Cela aurait pu permettre aux hackers d’injecter du code malveillant et de distribuer une fausse version du logiciel. Ironiquement, ce type d’attaque a fini par se réaliser une décennie plus tard, avec une compromission de NPM ayant entraîné cette porte dérobée malveillante. Notons que Schwartz a reconnu que l’avertissement de Todd était pertinent “à l’époque“, en février dernier.
La critique du système de sécurité
Parallèlement, Todd a admis que sa propre bibliothèque logicielle n’était pas signée PGP, car l’Index de Paquet Python (PyPi) avait cessé de soutenir de tels téléchargements.
“Pour être juste, ma bibliothèque python-bitcoinlib n’est pas signée PGP pour la plupart des utilisateurs, car PyPi a pris la décision malheureuse de supprimer les signatures PGP. Mais mes mains sont liées à ce sujet ; l’ensemble de l’industrie logicielle est incompétent,”
a-t-il déclaré.
