Blockchains d'entreprise : cloisonnées mais vulnérables

Comment pirater une blockchain d'entreprise ? Nous le saurons peut-être bientôt.

Produits blockchain d'entreprise Ils ont été conçus principalement comme des réseaux privés, limités aux parties autorisées. Cela est censé les rendre plus efficaces que les chaînes publiques comme Bitcoin et Ethereum, car moins d'ordinateurs doivent s'entendre sur la propriété de quoi, et, d'une certaine manière, plus sûrs, car les participants se connaissent.

Ces produits appliquent une Technologies initialement développée pour le Far West des Cryptomonnaie à diverses activités commerciales peu attrayantes, notamment les transactions transfrontalières, le stockage de documents et le suivi des biens et des informations. Leur potentiel a séduit certaines des plus grandes entreprises et éditeurs de logiciels du monde.

Mais comme tout logiciel, ils peuvent en théorie êtrepiraté, bien que la manière d'empêcher ce piratage ne soit T aussi bien documentée.

« Je ne me souviens T qu'une seule grande entreprise ait annoncé une perte de quelque nature que ce soit suite à un piratage d'une blockchain privée », déclare Paul Brody, responsable mondial de la blockchain chez le géant du conseil EY.

Sur le même sujet : Découvrez Red Date, l'entreprise technologique méconnue à l'origine de la vision de la blockchain en Chine.

Cela pourrait changer dans un avenir NEAR , à mesure que les entreprises commenceront à sortir ces systèmes fermés du laboratoire et à les utiliser dans le monde réel.

« Les grandes entreprises travaillent sur des applications blockchain depuis quelques années maintenant », a déclaré Pavel Pokrovsky, responsable blockchain chez Kaspersky, l'éditeur de logiciels antivirus basé à Moscou. « Bientôt, elles commenceront à déployer ces applications en production et pourraient être confrontées à de nouveaux défis en matière de gestion des risques. À mesure que de telles solutions seront déployées, les attaques pourraient devenir plus fréquentes. »

Emplois internes

ONEun des problèmes est que les systèmes privés et autorisés sont les plus vulnérables aux menaces internes, ont déclaré Pokrovsky et Brody.

« Le risque interne est particulièrement élevé dans les blockchains privées, car le travail généralement effectué pour sécuriser les informations au sein du réseau privé est très faible par rapport aux réseaux publics », a déclaré Brody d'EY, qui a étévoix RAREparmi les quatre grands cabinets de services professionnelssouches pour les systèmes ouverts« Sur les réseaux publics, nous utilisons largement les preuves à connaissance nulle et d’autres outils pour KEEP les données sensibles hors chaîne. »

Seuls un ou deux clients d'EY ont fait de tels efforts avec des réseaux privés, a-t-il déclaré. « Par conséquent, si vous pouvez accéder au réseau ou si vous le possédez déjà en tant qu'initié, la quasi-totalité des données critiques sont visibles par tous les membres. »

En général, a déclaré Pokrovsky, le type d'attaque le plus courant pouvant théoriquement être utilisé contre un réseau blockchain d'entreprise est une attaque par déni de service. Celle-ci diffère d'une attaque DDoS (déni de service distribué), où les serveurs d'une entreprise sont submergés de requêtes inutiles qui les surchargent.

Sur le même sujet : Des mineurs trompent le protocole PegNet, transformant 11 $ en un trésor de près de 7 millions de dollars.

Le déni de service, en revanche, est une attaque ciblée qui utilise la connaissance – peut-être celle d’un ancien employé – plutôt que la puissance électronique.

« Imaginons qu'un employé d'une entreprise soit licencié et qu'il soit en colère contre son ancien employeur. Il se rend sur le dark web et vend ses connaissances sur les vulnérabilités du système à des pirates informatiques », a expliqué Pokrovsky.

Dans le cas des blockchains d’entreprise, un attaquant aurait besoin de connaître les adresses des nœuds et ce qui peut les mettre hors ligne.

« Un attaquant peut surcharger la capacité de stockage du nœud et l'inonder de calculs inutiles », explique Pokrovsky. « Par exemple, le nœud ONEun de nos clients ne pouvait pas traiter de très grands nombres, disons 12 zéros et plus. Il se bloquait. »

Le remède à ce type d’attaque est un filtrage approprié des données entrant dans les nœuds, a-t-il déclaré : « C’est une erreur très répandue, de ne pas filtrer les données entrantes. »

Astuce bon marché

Exploiter une telle vulnérabilité est facile lorsque vous savez où se trouvent les nœuds et, contrairement au DDoS, cela ne nécessite pas d'acheter du trafic sous la forme de robots qui inondent votre cible de trafic indésirable, ni de déployer beaucoup de matériel pour attaquer le serveur.

« Il suffit d'écrire un script simple et de l'envoyer aux nœuds », explique Pokrovsky. Ensuite, les nœuds sont déconnectés. Ce système peut être utilisé à des fins criminelles, allant du sabotage d'un concurrent aux attaques terroristes, précise Pokrovsky.

La situation peut être aggravée par le fait que le moyen le plus pratique de configurer des nœuds pour une blockchain privée est d'utiliser une infrastructure cloud afin que les entreprises n'aient T à déterminer comment configurer un nœud physique dans leur bureau.

« La plupart des blockchains privées comportent très peu de nœuds et, dans bien des cas, elles résident toutes dans une même infrastructure cloud, créant ainsi un point de défaillance unique », a déclaré Brody. « Cela signifie également que, loin d'être des réserves d'informations immuables, elles sont faciles à effacer ou à fermer. »

Les risques peuvent varier. Par exemple,Masterchain, la blockchain d'entreprise destinée aux banques, développée sous l'égide de la Banque centrale de Russie, est une variante, ou copie modifiée, de la blockchain Ethereum , qui utilise un mécanisme de consensus basé sur la preuve de travail. La suppression de nœuds sur un tel réseau entraînerait une redistribution du consensus entre les nœuds restants, qui continueraient à valider les transactions.

Cependant, s'il s'avère que tous les nœuds restants sont contrôlés par la banque centrale, les participants au réseau pourraient argumenter que les transactions enregistrées pendant que tous les autres étaient en panne ne sont pas légitimes, a déclaré Pokrovsky.

Sur le même sujet : Le projet DeFi dForce rembourse tous les utilisateurs concernés après un piratage de 25 millions de dollars

« Les attaques DDoS sont faciles et peu coûteuses à organiser, mais elles sont également faciles à prévenir, et des services comme Cloudflare peuvent les identifier et les prévenir efficacement. Cependant, le déni de service n'est pas identifiable par les filtres utilisés par ces services », a déclaré Pokrovsky, ajoutant que parfois, les attaquants n'ont même T besoin d'une personne interne pour localiser les nœuds ; il est possible de trouver ces informations grâce à des méthodes de renseignement open source.

« Il est très difficile de corriger de telles vulnérabilités au moment où l’attaque se produit, lorsque tout s’est écrasé, que tout le monde court partout et que tout est en feu », a-t-il déclaré. Il est préférable d’essayer de prédire de telles situations dans un environnement de test.

Des contrats pas si intelligents

Si une blockchain utilise des contrats intelligents, ils peuvent également être attaqués, a déclaré Pokrovsky.

« Pour les blockchains d'entreprise, l'attaque typique se produit lorsqu'un contrat contient des variables qui peuvent s'avérer différentes pour chaque nœud, par exemple des horodatages ou des nombres aléatoires », a-t-il expliqué. « Dans ce cas, chaque nœud exécuterait le contrat intelligent avec un résultat différent et la transaction ne serait donc pas enregistrée dans la blockchain. »

Si un contrat intelligent fait référence à des documents, il existe un autre moyen possible de l’attaquer : insérer du code malveillant dans le document.

Sur le même sujet : Un pirate informatique exploite une faille dans la plateforme d'échange décentralisée de Bitcoin Bisq pour voler 250 000 $

« C'est la même chose que leAttaque par injection SQLet pour l'empêcher, vous devez filtrer les données entrantes et limiter l'utilisation des données externes par le contrat intelligent », a déclaré Pokrovsky.

Le fait que la plupart des blockchains privées ne bénéficient T de l'attention d'une large communauté blockchain est également une faiblesse, a déclaré Brody.

« Le plus grand risque posé par les blockchains privées est peut-être celui de la complaisance », a-t-il déclaré. « Un code open source T utilisé et T testé et inspecté par une communauté vigilante est bien moins sûr et fiable que des systèmes comme Bitcoin et Ethereum, qui sont constamment renforcés par des attaques et des inspections publiques quasi constantes. »

L'angle de Kaspersky

Dans l'optique peut-être d'élargir sa source de revenus, Kaspersky s'est lancé en 2018 dans la recherche et le conseil axés sur la blockchain, en se concentrant d'abord sur les blockchains publiques, notamment Bitcoin et Ethereum.

Kaspersky travaille avec des échanges de Crypto et complété une sécuritéaudit pour la société de logiciels de trading Merkeleon en octobre 2018.

En octobre 2019, Kaspersky a également commencé à travailler avec les blockchains d'entreprise. Pokrovsky a déclaré à CoinDesk que l'entreprise avait audité plusieurs de ces systèmes, dont seulement deux qu'il a pu nommer publiquement : la start-up blockchain russe Insolar et WAVES, qui a été recentragedes blockchains publiques aux blockchains privées depuis l'année dernière.

Le logiciel Kaspersky a étérépertoriéparmi les 10 meilleurs produits antivirus au monde par PC Magazine en mars, mais il a étéinterditL'installation de Kaspersky sur les ordinateurs du gouvernement américain a été interdite depuis 2017, en réponse à l'ingérence russe dans l'élection présidentielle de 2016. Cette interdiction a entraîné une chute des ventes aux États-Unis et en Europe, mais elles se sont développées en Russie et en Afrique.signaléCroissance du chiffre d’affaires de 4 % en 2018.

L'audit WAVES Enterprise de Kaspersky a duré trois mois, de novembre 2019 à fin janvier 2020. « La tâche consistait à vérifier la sécurité des nœuds, de l'infrastructure réseau et des interfaces Web des nœuds », a déclaré Pokrovsky.

L'entreprise de sécurité a réalisé des tests dits « boîte grise », dans lesquels le testeur n'a pas accès à l'intégralité du code de la plateforme blockchain, mais dispose d'un accès administrateur au système. Ce type de test permettrait de détecter d'éventuelles menaces internes, comme un ancien employé se déchaînant.

Une fois les tests terminés, Kaspersky présente au client la liste des vulnérabilités et celui-ci les corrige. Le test est ensuite relancé.

Pokrovsky n'a pas voulu révéler les faiblesses à corriger sur la blockchain de WAVES Enterprise. (WAVES a confirmé avoir fait appel à Kaspersky.)