Crowdcurity propose des tests de piratage participatifs pour Bitcoin

Les sites web Bitcoin sont des cibles PRIME pour les cyberattaques. Une entreprise appelée Crowdcurityveut appliquer la sagesse des foules pour renforcer leur sécurité. Comment cela fonctionnera-t-il ?

Se protéger contre les attaques n'est T une option si vous souhaitez KEEP votre application Bitcoin en ligne en activité. Les applications Bitcoin peuvent souvent contenir des centaines de cryptomonnaies, ce qui expose leurs utilisateurs à des pertes financières importantes en cas de compromission. C'est particulièrement vrai pour les plateformes d'échange.

Par exemple, le site de trading sur marge Bitcoinica a étépoursuivi en justice pour 460 000 $ en 2012après avoir été piraté à deux reprises. La plateforme d'échange américaine BitFloor a subi un embarras majeur après24 000 bitcoins ont été volés Suite à un piratage informatique en septembre 2012, un chiffre qui représentait près de dix ans de frais de transaction. C'est une perte difficile à surmonter. Ce n'est T le premier cas, les problèmes sont encore plus anciens : Vicurex a vu son portefeuille compromisen 2011. Et ce ne sont là que quelques exemplesensemble beaucoup plus grand.

Pénétrer dans une application Web

Tous ces vols de Bitcoin ne sont pas explicitement liés à des problèmes de site web. Certains sont dus à une erreur Human , et d'autres restent encore inexpliqués. Mais une chose est sûre : un code mal conçu T d'aucune aide et est responsable d'au moins une partie de ces problèmes.

De combien de manières une personne peut-elle pénétrer dans une application web ? Il en existe des dizaines, mais l'Open Web Application Security Project (OWASP) les décompose comme suit :dix grandes catégoriesLa liste est mise à jour chaque année, et celle de 2013 est une lecture macabre.

En tête de liste ? L'injection. Cela se produit lorsqu'un utilisateur injecte du code T prévu dans une application web, généralement via un paramètre transmis à une URL. Cette méthode peut être utilisée pour exécuter des commandes non souhaitées, comme l'installation de logiciels malveillants dangereux sur une page web pour infecter les ordinateurs des visiteurs ou la divulgation des données des clients, par exemple.

D'autres attaques potentielles incluent l'exploitation d'une configuration de sécurité défaillante (notamment celle des serveurs d'hébergement) et une authentification défaillante, où les sessions ne sont pas correctement gérées, permettant aux attaquants de pirater des comptes. Autre exemple : l'attaque par script intersite, qui consiste à envoyer des données erronées à un navigateur via JavaScript, provoquant ainsi un dysfonctionnement. Le fait que ces attaques soient encore possibles des années après leur découverte discrédite la communauté du développement logiciel.

Le problème pour de nombreux développeurs de logiciels, dans le secteur Bitcoin comme ailleurs, est la difficulté de repérer tous les bugs. Plusieurs sites Bitcoin ont recours à des « bug bounties » pour résoudre ce problème, offrant des récompenses aux membres les plus perspicaces de la communauté pour avoir repéré et corrigé les problèmes.

Coinbase en a un

, avec un gain minimum de 5 BTC et aucun gain maximum. Au moment de la rédaction de cet article, il avait attribué des bitcoins à 27 personnes, pour un montant d'au moins 135 BTC. Payward, qui gère le site de trading sur marge Kraken, est plus avare de son programme de primes, offrant au moins un Bitcoin par bug. Un autre site de trading de Bitcoin , 1Broker, propose également a exécuté un programme.

Entrez Crowdcurity

Crowdcurity espère standardiser le concept de bug bounty en externalisant le processus. Ce service en ligne met en relation les entreprises ayant des logiciels à déboguer avec une communauté d'environ 250 testeurs de logiciels, identifiée via des forums de sécurité.

L'entreprise ne se concentre T uniquement sur le Bitcoin , car son processus peut être appliqué à n'importe quelle application web. Il s'agit néanmoins d'un marché important pour elle. « Les entreprises Bitcoin sont déjà très attentives à la sécurité et savent qu'elles doivent s'y intéresser », explique Jacob Hansen, fondateur de Crowdcurity, qui négocie déjà avec au moins une grande entreprise Bitcoin. « Les entreprises en ligne traditionnelles n'ont T toujours la même sensibilité. »

[post-citation]

Les clients peuvent créer un programme de récompenses sur le site, en définissant les règles et les montants des bugs. Le défi est ensuite envoyé à la communauté de testeurs, qui travaille au signalement des vulnérabilités. Le client valide les bugs en collaboration avec Crowdcurity, et les récompenses sont attribuées en fonction de la gravité du bug.

Plus de la moitié des paiements ont été effectués en bitcoins pour le seul client avec lequel l'entreprise a traité la semaine dernière. « Nombre de ces paiements peuvent atteindre 25 à 50 dollars si les bugs sont peu critiques. Avec les bitcoins, les frais sont moins élevés et les paiements sont plus rapides », explique Hansen.

Les testeurs du site peuvent cibler un site de test ou un site opérationnel qui traite déjà des données en direct, explique Hansen. Mais les sites ne devraient T se contenter de faire appel à des testeurs externes, soutient-il.

Crowdcurity est en réalité un service de tests d'intrusion, où une équipe de testeurs tente de pirater un site web. Mais ils T le code du site. D' un côté, c'est une bonne chose, car les sites à code source fermé ne souhaitent T que leur propriété intellectuelle soit lorgnée. De l'autre, l'analyse du code est laissée à l'entreprise, qui doit ensuite trouver les compétences nécessaires.

Ils devraient effectuer des analyses de sécurité de leur code en interne. De nombreux outils automatisés permettent d'analyser votre code et de détecter les vulnérabilités courantes. Crowdcurity utilise des outils commeSerre-freinpour son propre site, qui analyse les vulnérabilités des applications Ruby on Rails. Il en existe d'autres pour d'autres langages, mais les entreprises doivent posséder les compétences et la rigueur nécessaires pour les utiliser.

À mesure que Bitcoin se développe et que les entreprises bénéficient d'un meilleur financement, les développeurs de logiciels seront, espérons-le, mieux armés pour assurer la sécurité de leurs systèmes. Et peut-être verrons-nous moins de catastrophes comme celles de Bitcoinica ou de Bitfloor.