Ce que les corrections de bugs critiques de Mastodon révèlent sur les vulnérabilités de sécurité des cryptomonnaies

Plusieurs bugs critiques sur la plateforme de médias sociaux Mastodon, semblable à Twitter, ont été corrigés la semaine dernière, après que des chercheurs financés par la Fondation Mozilla ont tiré leur chapeau à lavulnérabilitésLa situation montre ONEun des compromis fondamentaux du développement de logiciels open source : le code accessible au public peut être examiné et exploité par n’importe qui.

Parfois, cela signifie que les bugs sont trouvés par ce qu'on appellepirates informatiques en chapeau blanc, et parfois, elles sont laissées ouvertes à l'exploitation. Dans le cas de Mastodon, Mozilla a payé l'entreprise de sécurité allemande Cure53 pour effectuer des tests d'intrusion sur le réseau social, après avoir annoncé son intention de le supprimer.en utilisant Mastodonpour certaines communications d'entreprise.

Ceci est un extrait de la newsletter The Node, un résumé quotidien des actualités Crypto les plus importantes sur CoinDesk et ailleurs. Abonnez-vous pour recevoir l'intégralité de l'actualité. newsletter ici.

Surtout depuis le rachat de Twitter par Elon Musk, Mastodon est devenu ONEune des applications décentralisées les plus populaires auprès du grand public. Mastodon se qualifie de « fédération » car elle se compose de plusieurs milliers d'« instances » distinctes qui diffusent du contenu (contrairement à des entreprises comme Twitter ou Facebook, qui gèrent leurs propres serveurs). Chacun peut gérer sa propre instance ou demander à en rejoindre une autre, qui peut définir ses propres critères de modération.

Peu de choses ont été révélées sur les cinq bugs qui ont été corrigés, bien que le chercheur en sécurité indépendant Kevin Beaumont, écrivant sur Mastodon, ait déclaré ONE exploit potentiel surnommé #TootRoot aurait pu donner aux pirates un accès root aux instances Mastodon - ce qui aurait pu causer toutes sortes de problèmes, y compris des comptes compromis et d'autres stratagèmes de phishing.

Voir aussi :Les pirates Crypto ont tendance à restituer l'argent volé : TRM Labs

Mastodon gGmbH, l'organisation qui gère le logiciel open source de Mastodon, a classé un autre bug comme critique et les trois autres comme étant de gravité élevée et moyenne. Selon Ars Technica, des annonces préalables concernant les failles de sécurité ont également été envoyées aux serveurs les plus importants ces dernières semaines afin qu'ils puissent déployer rapidement un correctif dès sa mise en ligne.

À ma connaissance, aucun des 14,5 millions d'utilisateurs de Mastodon n'a été affecté par les lignes de code erronées, qui semblent restées inexploitées. Cependant, la situation soulève des inquiétudes, notamment quant à la durée pendant laquelle les failles critiques seraient restées inactives si Mozilla n'avait pas été disposé à payer pour vérifier la sécurité de Mastodon. Et quant à savoir si un acteur malveillant aurait pu y accéder en premier.

Ces questions sont d'actualité dans le monde des logiciels libres et open source, notamment (et peut-être surtout) dans le domaine de la Crypto. Outre la difficulté de s'assurer que tout le monde télécharge un correctif ou utilise la dernière version du logiciel (si vous utilisez Mastodon, vérifiez que l'instance que vous utilisez est en version 4.1.3 ou ultérieure, ou sollicitez la mise à jour auprès du serveur), la sécurité des réseaux partagés est entièrement soumise aux forces du marché.

Les incitations financières sont à double tranchant pour les pirates : ils peuvent parfois recevoir une prime pour avoir révélé un problème en bonne et due forme, ou revendre les informations malveillantes sur le darknet. De plus, il n'y a T toujours de Mozilla prêt à financer des audits approfondis pour garantir la sécurité de ces systèmes.

Le problème est encore compliqué par la Crypto, qui transforme les applications en « primes aux bugs à plusieurs millions de dollars » ou en sacs fourre-tout pour les pirates informatiques cherchant à gagner de l'argent QUICK . 3,1 milliards de dollars ont été volés rien que pour les protocoles de Finance décentralisée (DeFi) l'année dernière. Et même lorsque les fondations ou les utilisateurs de protocoles se regroupent pour financer les revues de code, il n'est pas toujours évident de se fier à l'approbation d'un auditeur (souvent autant par incompétence que par cupidité).

Voir aussi :Appeler un piratage un exploit minimise l'erreur Human | Analyses

Diyahir Campos, un utilisateur et développeur de Crypto qui dit avoir perdu après l'attaque de plusieurs millions de dollars d'Euler Finance, récemment révéléun « disjoncteur » DeFi qui suspendrait les protocoles constatant des retraits anormaux. Ce serait un« truc d'adhésion », ce qui, certes, n'offrirait T aux utilisateurs une sécurité complète, mais pourrait minimiser le montant d'argent perdu lors des piratages.

Des solutions comme celles-ci sont admirables, même s'il n'existe pas de solution miracle aux problèmes des cryptomonnaies (et certainement pas de solution universelle). Et, bien sûr, l'utilisation de tout programme informatique, qu'il soit open source ou non, comporte un risque de base. N'oublions pas que même les institutions apparemment les plus compétentes, comme le Département de la Défense américain ou Microsoft, ne sont pas à l'abri de bugs catastrophiques.

La communauté FOSS favorise une véritable culture de solidarité et de responsabilité partagée, où le respect suscité par la découverte et la divulgation de problèmes vaut souvent plus que l'argent qu'ils auraient pu gagner. Que cela soit une maigre consolation pour les Crypto, que des institutions comme Mozilla soient ou non sur la voie de l'adoption.