Ce que la faille Foreshadow signifie pour l'avenir de la Cryptomonnaie

MISE À JOUR (16 août 19h11 BST) : Mis à jour pour inclure une déclaration envoyée par courrier électronique par la startup de Cryptomonnaie Enigma.

Une autre faille de sécurité grave a été dévoilée mardi avec des effets d'entraînement potentiels dans le monde de la technologie, y compris pour les projets de Cryptomonnaie cherchant à tirer parti de certains périphériques matériels.

Suite à une paire de bugsdévoilé plus tôt cette année, le Présage de la vulnérabilitéimpacte toutes les enclaves Software Guard Extensions (SGX) d'Intel, une région spéciale, supposément extra-sécurisée, de la puce souvent utilisée pour stocker des données sensibles.

En bref, alors que l’enclave est censée être inviolable, un groupe de chercheurs a trouvé un moyen pour un attaquant de voler les informations qu’elle stocke.

Pour beaucoup, Meltdown et Spectre étaient déjà assez effrayants. Les bugs affectaient chaque puce Intel, le matériel équipant la plupart des ordinateurs du monde. Mais, comme leur exécution T complexe, les attaques réelles étaient T .

Foreshadow pourrait sembler moins grave, car il impacte un type de matériel Intel plus spécifique : SGX. Cependant, comme de nombreux projets de Cryptomonnaie prévoient d'utiliser cette Technologies, Foreshadow pourrait avoir des conséquences encore plus graves pour le secteur des Cryptomonnaie .

Peut-être plus particulièrement, le créateur de Signal, Moxie Marlinspike, est en train de conseiller une nouvelle pièce de monnaie prétendument plus verte appelée MobileCoin qui place SGX au centre, mêmelever 30 millions de dollars pour y parvenir.

Par conséquent, ces projets devront subir une certaine restructuration avant d’être véritablement lancés.

« Les résultats publiés aujourd'hui ont absolument un impact considérable sur les projets de Cryptomonnaie », a déclaré Phil Daian, chercheur en sécurité à l'Université Cornell, à CoinDesk.

La bonne nouvelle, cependant, est que les chercheurs ont suivi le « processus de Déclaration de transparence responsable » du monde de la sécurité pour révéler les bugs, alertant Intel avant de le montrer afin que le géant de la technologie puisse proposer un correctif (qui a été déployé il y a quelques mois).

Mais le monde de la sécurité fait beaucoup de bruit car cela pourrait ne pas suffire.

« Il est probable que, comme beaucoup de ces systèmes sont lents à mettre à niveau et que beaucoup de ces correctifs nécessitent des mises à niveau complexes ou matérielles, l'infrastructure restera vulnérable à ce type d'attaque pendant longtemps », a déclaré Daian, ajoutant :

« Il serait surprenant qu’à un moment donné, ce type d’attaque ne soit pas utilisé pour voler des Cryptomonnaie. »

Le bon et le mauvais

Mais il y a à la fois de bonnes et de mauvaises nouvelles.

D' une ONE, il semble qu'aucun des projets SGX les plus en vue dans le Cryptomonnaie ne soit encore utilisé pour sécuriser de l'argent réel. « À ma connaissance, aucun système SGX n'est actuellement en production ni largement utilisé dans ce secteur », a déclaré Daian.

La mauvaise nouvelle est qu’il existe de nombreux projets quivouloird'utiliser SGX, et peut-être même de le faire prochainement. Et les idées sont plutôt géniales.

MobileCoin

est peut-être le plus ambitieux puisque les développeurs du projet veulent remplacer les mineurs, un élément crucial de la sécurisation de toute Cryptomonnaie, par ces enclaves pour construire une Cryptomonnaie plus économe en énergie.

Mais il y en a beaucoup d’autres qui souhaitent utiliser SGX pour ses gains en matière de sécurité et de Politique de confidentialité .

Enigma l'utilise dans une offre uniquepour renforcer la Politique de confidentialité dans les contrats intelligents, tandis que la société de matériel de portefeuille Ledger est allée jusqu'àpartenaire du géant technologique Inteld'explorer l'utilisation de SGX comme nouvelle voie de stockage des clés privées.la liste est longue.

Enigma a toutefois fait valoir que l’impact du bug a été exagéré.

« Comme pour tout logiciel ou matériel, la À découvrir et la résolution de vulnérabilités potentielles font partie intégrante du processus de développement. Dans ce cas précis, la vulnérabilité a déjà été corrigée par Intel et ne diminue en rien le potentiel de la Technologies SGX », a déclaré Guy Zyskind, PDG et cofondateur d'Enigma, dans un communiqué.

Zyskind a ajouté qu'Enigma est « fier » de travailler avec Intel et pense que son travail avec SGX est crucial pour l'avenir de la crypto-monnaie, car ils créent « des solutions de Politique de confidentialité robustes qui permettront enfin aux applications décentralisées de fonctionner et d'être adoptées à grande échelle ».

Ces énormes avantages n’empêchent cependant pas certains chercheurs de s’inquiéter de son impact.

« L'attaque SGX est dévastatrice », a déclaré Patrick McCorry, professeur adjoint au Kings College de Londres, à CoinDesk, ajoutant que les groupes de recherche discutent depuis longtemps de la manière dont elle peut être déployée pour ajouter une sécurité supplémentaire aux données.

« Cela peut potentiellement compromettre l'intégrité – et la Politique de confidentialité – de toute application s'appuyant sur un matériel fiable. De nombreuses entreprises du secteur des Cryptomonnaie s'appuient sur SGX pour prendre en charge les protocoles multipartites, mais cette attaque permet à n'importe quel participant de tricher », a-t-il ajouté.

« À mon Analyses, une bonne recherche et de bons systèmes SGX devraient supposer que le matériel peut toujours être cassé à un certain coût et devraient, comme toujours, être conçus de manière défensive et inclure une sécurité en couches », a déclaré Daian.

Il a ensuite donné quelques conseils aux entreprises qui prévoient de se lancer prochainement.

« Les projets qui prévoient d'être lancés prochainement et qui s'appuient sur SGX devraient évaluer les vulnérabilités et toutes les mises à jour d'Intel avec prudence quant aux implications pour la sécurité de leurs systèmes, et devraient publier ces enquêtes avec leur code », a-t-il déclaré.

L'autre mauvaise nouvelle, cependant, est qu'il est possible que des pirates informatiques trouvent une nouvelle variante du bug, affectant de la même manière toutes les puces SGX.

« Mais comme le démontre Foreshadow, les attaques ne font que s’améliorer », a remarqué McCorry.

Douce justification

Pendant ce temps, le bug donne à certains développeurs le sentiment d’avoir été justifiés.

Étant donné qu'Intel dispose d'une porte dérobée sur tous les appareils SGX, il s'agit depuis longtemps d'une voie technologique controversée pour les projets de Cryptomonnaie , les passionnés affirmant souvent que l'utilisation de cette Technologies met trop de pouvoir ou de confiance entre les mains d' une ONE entreprise.

En termes simples, dans leur esprit, la vulnérabilité Foreshadow est un bon exemple de la raison pour laquelle il ne faut pas placer SGX comme pierre angulaire d’un projet de Cryptomonnaie .

« Heureusement que nous n’avons T adopté la solution de mise à l’échelle Bitcoin basée sur SGX d’un certain professeur ! » tweeté Grubles, un passionné de Bitcoin sous pseudonyme.

« Même si *tout cela* avait été parfait d'une manière ou d'une autre, ce n'était jamais une bonne idée d'ancrer la sécurité du Bitcoin dans la Technologies Secret d'un fournisseur de puces », a répondu Wladimir van der Laan, responsable de Bitcoin CORE .

Mais encore une fois, la plupart des projets utilisant SGX n'ont T réellement été lancés en production.

Certains chercheurs sont allés jusqu'à affirmer que la plupart des projets de Cryptomonnaie explorant SGX ne les ont T réellement utilisés en monnaie réelle, en raison de la mauvaise réputation d'Intel. L'industrie a expérimenté cette Technologies , mais est trop prudente pour la lancer.

Certains chercheurs en sécurité conseillent de poursuivre cette tendance et de ne pas utiliser SGX.

Mais d'autres chercheurs sont plus optimistes quant au fait que SGX, ou quelque chose de similaire, pourrait un jour jouer un rôle important dans la Cryptomonnaie, considérant Foreshadow comme un signe positif que le matériel de confiance est testé au combat.

« SGX devra être testé et cassé à plusieurs reprises par des chercheurs adverses jusqu'à ce qu'il puisse prétendre à un degré élevé de sécurité, ce qui prendra des années », a déclaré Daian, ajoutant qu'il pense que du matériel de confiance du type SGX pourrait un jour jouer un rôle important (et positif) dans la Cryptomonnaie.

En bref, cela pourrait simplement prendre un certain temps, a-t-il soutenu, ajoutant :

« La mise en œuvre d’une telle Technologies est certainement très prometteuse en termes de minimisation de la confiance et de protection évolutive de la Politique de confidentialité dans le Cryptomonnaie et au-delà. »

Ordinateur portable via Shutterstock