Menaces sur la blockchain

La blockchain est une révolution. Par son caractère novateur, décentralisé et fiable, elle s’impose de plus en plus comme un outil crédible à usage des fans inconditionnels de cette dernière, mais pas que. On commence à voir des secteurs et groupes de l’économie classique avoir recours à la blockchain pour certains de leurs services. Alors il n’est pas forcément ici question de crypto-monnaie, mais la blockchain ce n’est pas que ça, c’est aussi un outil très utile pour effectuer de la traçabilité, de la certification, etc.

Cependant, la blockchain n'est pas infaillible, du moins en théorie. Nous connaissons ses incroyables capacités, mais connaissons nous bien les risques et menaces que la blockchain peut avoir ?

Nous allons faire le tour des quelques menaces les plus classiques, et les analyser afin d’estimer leur probabilité d’arriver de nos jours

Deux types de menaces :

Pour les besoins de l’article, nous allons diviser les menaces en deux catégories bien distinctes. La première concerne les menaces qui planent sur la blockchain elle-même, des menaces contre lesquelles nous ne pouvons rien faire et que nous ne pourrions que subir en cas de survenue.

La deuxième catégorie sera axée sur les scams, arnaques et autres prestidigitations que les personnes mal intentionnées utiliseront pour essayer de vous soutirer de l’argent. Ces menaces là sont facilement évitables à condition de savoir les repérer, et si certaines fois c’est plutôt grossier, d'autres arnaques sont bien ficelées, apprenez à les reconnaître pour ne pas tomber dans le panneau !

Les menaces inhérentes à la blockchain

Mine de rien, il y en a pas mal ! Mais pas de panique, si certaines peuvent arriver, la plupart des attaques sont aujourd’hui difficiles ou très coûteuses à mettre en œuvre, et plus le réseau se décentralise, plus cela devient compliqué !

Nous allons ici lister et expliquer les principales menaces et attaques possibles.

L’attaque 51

La plus connue de toute probablement. Rien à voir avec la Zone 51 ni avec une quelconque intelligence extraterrestre. Intéressons-nous à son nom, qui est en fait aussi sa définition. Une attaque 51 revient pour une personne mal intentionnée à prendre possession de 51% du réseau à un moment précis.

Qu’est ce que cela signifie . Tout simplement qu’il devient majoritaire sur le réseau, et donc en quelque sorte qu’il le possède.

Il faut revenir au fondement même du processus de validation des blocs. Lorsque la majorité dit qu’un état est tel qu’il est, alors l’ensemble du réseau se calque sur cet état pour continuer à dérouler la blockchain.

Dans les faits, détenir 51% du réseau vous permet d’utiliser des Bitcoins sans les inscrire dans la blockchain principale, c’est pourquoi nous pouvons aussi associer ça à une attaque de double dépense. Pour ceux qui ne connaisse pas, la double dépense, comme son nom l’indique, consiste à dépenser deux fois le même actif. De fait, une personne avec 1 Bitcoin peut en dépenser 2 dans ce cas de figure. Évidemment, une telle manœuvre est par définition impossible et pourrait compromettre fortement le réseau.

Acquérir 50% de la preuve de travail de Bitcoin est aujourd’hui difficilement imaginable et financièrement improbable, mais en théorie ça reste une possibilité. Certains développeurs ne sont pas pour une résolution de ce genre d’attaques car cela reviendrait à entamer le principe même de décentralisation. Pour limiter le risque de ce type d’attaques, le mieux est d’augmenter encore plus la décentralisation, car plus de décentralisation signifie plus de difficultés pour s’emparer de la majorité du réseau.

Attaques Sybil

Le terme est moins connu, moins répandu, mais les attaques 51% sont une des formes des attaques Sybil. Il s’agit là aussi de créer plusieurs comptes ou nœuds pour étendre son influence sur l’intégralité du réseau.

Notez simplement qu’il s’agit, dans sa forme la plus poussée, d’une attaque 51%, qui vise à perturber le réseau en prenant des décisions qui vont à l’encontre de l’intérêt général. La méthode de validation (“Proof of Work”, “Proof-of-Stake”, etc) permet de limiter ces attaques Sybil en créant une contrainte à l’entrée qui empêche en pratique un ou des individus de facilement accéder à une influence nécessaire pour commettre leurs actes malveillants.

La dusting attack ou attaque par saupoudrage

Vous avez déjà probablement entendu parlé des attaques à la poussières. Elles sont relativement répandues et répondent à un but différent des attaques à 51%.

Premièrement, elle cible un ou des utilisateurs en particulier. Elle se matérialise par l’envoi de petites quantités de crypto-monnaies dans vos portefeuilles. Ça peut être n’importe quelle crypto, vous allez donc voir des centimes arriver sans raison. La poussière n’a pas de valeur à proprement parler mais il s’agit toujours de très petites quantités de crypto. Par exemple, sur le Bitcoin la poussière est définie par un montant qui est inférieur aux frais de transaction pour l’envoyer.

Cela nécessite de définir un nouveau terme : la limite de poussière. En gros, en dessous de cette limite, le montant est considéré comme de la poussière et peut être rejeté purement et simplement par le réseau, faisant échouer la transaction qui est alors considérée comme du spam.

Mais il arrive que ces transactions réussissent. Alors, qu’espèrent ces gens en vous envoyant de l’argent ? Vous tracer tout simplement.

En effet, le saupoudrage n’est que la première étape de leur stratégie. La deuxième c’est d’attendre que vous déplaciez cette poussière afin d’identifier les portefeuilles qui appartiennent à une même personne ou entité.

En faisant cela, ils sont en mesure de recouper les informations pour cibler la personne, et éventuellement récupérer des informations personnelles pour ensuite entamer la troisième étape de leur stratégie : le phishing.

Une fois identifiés, ils ont une vue claire de vos wallets et de votre identité. Ils ont aussi des moyens de vous contacter et vont ensuite tenter, par le phishing de récupérer des données sensibles pouvant mener au vol de vos fonds.

Toute cette manœuvre consiste donc à désanonymiser vos portefeuilles afin de tenter de vous soutirer de l’argent de manière frauduleuse.

Pour entrer dans le détail rapidement, sachez que chaque transaction crée un UTXO, qui est en fait une transaction non dépensée. De fait, lorsque vous possédez 1 BTC sur votre wallet, vous pouvez avoir 4 UTXO de telle sorte que :

• UTXO 1 : 0.5 BTC

• UTXO 2 : 0.25 BTC

• UTXO 3 : 0.125 BTC

• UTXO 4 : 0.125 BTC

Si vous voulez dépenser 0,125 BTC, le wallet ira chercher l'UTXO 3 ou 4. Si par contre vous voulez dépenser 0.40 BTC, il va devoir associer plusieurs UTXO pour réaliser la transaction, désanonymisation techniquement votre wallet, et c’est là dessus que jouent les assaillants.

La notion d’UTXO est primordiale car c’est sur elle que repose le concept de double dépense, en effet, son existence, créée par Satoshi, permet d’éviter les doubles dépenses.

Des fonctionnalités arrivent pour se prémunir de ce genre d’attaques, comme par exemple une fonction “Ne pas dépenser” qui va geler les fonds issus de cette attaque. Mais le premier point pour éviter de se faire avoir est de se prémunir contre le phishing, car peu importe l’attaque, si vous êtes vigilant face au phishing, il ne vous arrivera rien.

Attaque Eclipse

Autre attaque, autre nom, autre concept ! Les attaques éclipse ne s’appellent pas “éclipse” par hasard. Elle consiste pour un assaillant à tenter de masquer une partie du réseau aux autres acteurs.

Comment ça fonctionne ? Premièrement, l’assaillant va cibler un nœud du réseau et commencer à monopoliser les connexions en l’inondant de ses propres connexions. De fait, le nœud victime va progressivement se retrouver éclipsé du réseau, isolé en quelque sorte.

En faisant cela, le nœud en question perd la visibilité correcte du réseau dans son intégralité et se retrouve victime des données que l’assaillant veut bien lui fournir. Données qui sont évidemment erronées et vont être utilisées à son insu.

Là encore, l’assaillant va chercher à exploiter ce nœud pour effectuer des doubles dépenses. Comme vous pouvez le voir, les attaques tournent beaucoup autour de la double dépense puisque c’est celle-ci qui permet de générer des bénéfices.

Il s’agit d’une attaque par déni de service qui vise à exploiter ce nœud via cette attaque, pour éventuellement intégrer d’autres techniques de piratage pour générer des doubles dépenses.

Si vous voulez voir un exemple d’attaque éclipse, rendez-vous ici : https://www.youtube.com/watch?v=i9WVCJIaq3w

Il s’agit d’un type d’attaque très peu répandu compte tenu de la faible portée d’une telle attaque qui va cibler un seul nœud, elle reste cependant possible.

Attaque par rejeu

Nous pouvons par exemple citer l’attaque par rejeu, qui consiste à renvoyer des données de transaction lors principalement d’un hardfork. Nous n’en parlerons pas ici car ces attaques sont très bien parées par des protocoles de sécurité, ainsi, si elles devaient arriver, elles ne seraient pas imputable à la blockchain en elle-même mais à la négligence des développeurs lors d’un hard fork.

Les attaques qui vous ciblent vous

Ici, je pense que vous êtes tous plus ou moins familiarisé avec les concepts que nous allons évoquer tant ceux-ci dépassent le cadre de la blockchain. Ils sont cependant largement utilisés et nécessitent la plus grande prudence. Rassurez-vous, une fois identifiés, ils sont facilement détectables et il n’est pas difficile d'acquérir la mesure et la prudence nécessaires pour se parer de ce genre de malveillances.

Le phishing

Probablement la technique la plus connue de toutes. On reste cependant surpris mais elle continue de fonctionner par moment, et contre cela, rien de mieux que la méfiance !

Qu’est-ce que le phishing ? Il s’agit de l’usurpation de l’identité d’un tiers (individu, entreprise ou autre) reconnu dans le milieu, afin de vous soutirer des informations sensibles qui ne devraient pas se retrouver entre les mains des acteurs malveillants derrière l'opération.

A la base, tout se passe généralement par email mais la crypto a un peu rebattu les cartes. La présence quasi majoritaire de la crypto sur Telegram en a fait un terrain de jeu parfait pour les personnes mal intentionnées. Ainsi, on voit fleurir des dizaines de messages frauduleux, soit venant de profils reprenant toutes les informations d’un profil reconnu (l’admin d’une communauté par exemple), soit des messages bien ficelés qui vous promettent une private sale ou n’importe quelle autre raison qui pourrait vous pousser à envoyer des fonds à une mauvaise personne.

Une autre technique répandue en crypto consiste à créer de faux sites des sites sur lesquels vous avez l’habitude d’aller. Je prends un exemple avec DAO Maker, le site officiel étant daomaker.com, vous pourriez voir fleurir un dao.maker.com ou daomaker.io qui peut ne pas être le bon domaine et vous incitez à vous connecter au mauvais endroit. Une autre technique consiste à remplacer le l (L) par un i majuscule (I), prenons un exemple :

• latoken.com (Lien correct)

• Iatoken.com (Lien avec un i majuscule)

Cette technique s’appelle du typosquattage.

Comment se prémunir de ça ? Deux axes de réflexion. Le premier consiste à ne pas croire sur parole ceux qui viennent vous démarcher spontanément, bien que les profits soient décuplés en crypto, l’argent n’est pas magique, demandez vous si vous avez une raison d’être contacté, regardez ses identifiants, comparez les avec la personne qu’il essaie d’usurper. Demandez-vous en général “Pourquoi moi ?”. Pourquoi serais-je contacté pour une vente privée très demandée, existe-t-il une raison particulière ? Si non, pourquoi seriez-vous contacté de la sorte, à part pour être arnaqué.

Le deuxième volet consiste à taper vos liens sensibles à la main et une fois cela fait, de les mettre en favoris. Cela vous évitera de vous retrouver sur une copie du site officiel qui siphonne vos données pour les utiliser contre vous.

Le chant des sirènes

Très courant en crypto, cette technique je ne saurais appeler autrement que “le chant des sirènes” consiste à vous promettre quelque chose d’improbable mais qui va avoir une grande portée. Ainsi, la majorité des utilisateurs ne vont pas tomber dans le panneau, mais de par son caractère étendu, il y aura toujours quelques personnes pour y croire et se faire arnaquer.

L’exemple le plus parlant vient (encore) de notre ami Elon Musk, mais pas que. Un hack Twitter avait permis à des pirates de poster des tweets avec les comptes officiels tels que celui d’Elon Musk, de Joe Biden, de Kim Kardashian ou Barack Obama.

Ils ont récupéré 12 Bitcoins dans la manœuvre et quelques années de prison.

Que demandaient-ils ? Simplement de leur envoyer un montant en Bitcoin qu’ils vont doubler et vous renvoyer. Le chant des sirènes. Rappelez vous de ça, vos gains viendront de vos efforts, quelque chose qui semble trop beau est très probablement faux. Personne ne doublera vos Bitcoins, aucune plateforme sérieuse ne vous offrira des intérêts de 5% par jour sur du stablecoin, etc. Gardez la raison, ne partez pas tête baissée, utilisez la force de la communauté pour qu’ensemble nous discutions de vos doutes, si vous en avez.

Tout cela s’apparente aussi à des systèmes de Ponzi, dans lesquels les nouveaux investisseurs financent les gains de ceux qui sont déjà là, jusqu’à ce que l’intégralité du système se crashe, laissant tous ceux qui y ont mis des fonds démunis.

Le cryptojacking

Autre joyeuseté de l’écosystème, le cryptojacking. Personne na va venir cagoulé vous voler vos cryptos, mais ce système bien ficelé permet à ceux qui le mettent en place de miner de la cryptomonnaie en masse… Avec votre ordinateur.

Deux solutions pour que ce genre de programmes s'implantent sur votre ordinateur. Le premier est le téléchargement d’un malware qui va fonctionner en arrière-plan, sans que vous vous en rendiez compte à moins de chercher à éradiquer les malwares. Cette solution est relativement facile à contrer en lançant simplement un scan de son ordinateur.

La deuxième solution est directement liée au web. Dans celle-ci, plus besoin d’avoir de malware sur son ordinateur pour miner. Il suffit d’être connecté à un site web malveillant qui a mis un script permettant d’utiliser votre puissance de calcul pour miner.

Alors certes il ne minera pas grand chose sur votre ordinateur. Mais multipliez cette arnaque par 100, 1000, 1 000 000 d’ordinateurs et vous avez un revenu conséquent, sans rien faire et sans matériel.

Fondamentalement, vous ne risquez rien si ce n’est de voir vos performances atténuées tant que le site web est ouvert sur votre navigateur.

Je ne tire pas la sonnette d’alarme et n’accuse personne, mais imaginez si les sites de streaming implémentent ce genre de scripts sur leurs pages. Le nombre de connexions étant très important, ils peuvent ainsi miner sur de très nombreuses machines, en tout illégalité.

Des extensions existent pour bloquer les scripts, voire cibler directement les scripts de mining en ligne, comme MinerBlock.

Dans l’idée pourtant, nous pourrions imaginer qu’un site se rémunère grâce à ce mining discret. Pour cela, mieux vaut l’annoncer d’emblée et offrir la possibilité au visiteur de le désactiver s’il le souhaite.

L’attaque copié/collé

Dernière attaque que nous évoquerons rapidement, l’arnaque au copié-collé. Certains programmes malveillants peuvent agir sur le copié/collé à leur avantage.

Imaginez ainsi que vous copiez une adresse ERC20 pour envoyer des fonds d’un wallet à un autre. Imaginez maintenant que vous alliez dans votre Metamask, que vous colliez votre adresse et là, les fonds n’arrivent jamais, pourtant la transaction est passée.

Quelle en est la raison ? Il se peut qu’un programme ait modifié l’adresse collée pour mettre l’adresse du portefeuille pirate.

Pour s’en prémunir, rien de plus simple, vérifiez doublement vos adresses copiées et collées, encore une fois, il s’agit ici d’adopter une posture prudente.

Conclusion

Les dangers relatifs à la blockchain existent principalement car cette dernière est décentralisée. Cependant, plus la décentralisation est importante, plus ces attaques deviennent compliquées. Il n’y a rien que vous puissiez faire contre ça si ce n’est les connaître.

Pour ce qui est des deuxièmes menaces, la meilleure façon de s’en prémunir est de rester mesuré face à toutes les situations. Ne vous emballez pas, ne vous jetez à corps perdu sur la première chose et rappelez vous que si c'est trop beau, c’est probablement faux. L’argent n’est pas magique, même pas en crypto. Il s’agit donc ici d’acquérir une bonne hygiène numérique qui vous servira à vous prémunir contre toutes les formes d'actes malveillants qui pourraient vous toucher.