Sécurité de la Blockchain : idée reçue ou fait établi ?

Si le concept de surface d’attaque est connu dans les domaines de l’informatique traditionnels (IT) et de l’informatique industrielle (OT), la notion de surface d’attaque dans le domaine de la blockchain reste un concept encore flou pour une majorité de professionnels. 

L'une des vulnérabilités les plus connues est l'attaque communément appelée des 51%. L’attaque des 51% est une menace théorique dans le domaine de la blockchain qui concerne les systèmes utilisant le mécanisme dit de preuve de travail (proof of work), tels que Bitcoin et d'autres blockchain. Cette attaque se produit lorsqu'un individu ou un groupe acquiert plus de 50% de la puissance de calcul du réseau blockchain. Avec cette majorité, l'attaquant peut manipuler le registre des transactions et ainsi valider ou invalider ces dernières. La sécurité de la blockchain repose sur la décentralisation. En contrôlant plus de la moitié de la puissance de calcul, l'attaquant centralise le contrôle et peut prendre des décisions unilatérales concernant les transactions. 

Bien que cette attaque soit devenue moins courante sur les blockchains publiques en raison de leur grande puissance de calcul et de l'avènement de nouveaux algorithmes de consensus comme le "Proof of Stake" qui dominent désormais le marché, ce n'est pas le cas des blockchains privées ou permissionnées, pour lesquelles l'algorithme de validation des transactions est plus facilement vulnérable à des intrusions localisées. Comme le souligne Benjamin Thomas :

Dans une blockchain privée, seuls l'entreprise ou les serveurs autorisés par une entreprise peuvent contribuer à la sécurité de la décentralisation du réseau. Par définition, ce sont des cibles beaucoup plus faciles pour les cyberattaquants puisqu’il n'y a que quelques postes à compromettre pour récupérer la majorité de la puissance de calcul du réseau. 

À noter que les blockchains sont aussi vulnérables aux attaques par déni de service (DDoS). La blockchain étant hébergée sur un ensemble de serveurs décentralisés, si une partie ou la totalité des serveurs sont saturées, la capacité globale de la blockchain sera affectée, impliquant des lenteurs voire son indisponibilité. De plus, si un participant du réseau, qu'il soit public ou privé, désire le "spammer" de transactions jusqu'à causer son indisponibilité, il peut théoriquement y parvenir.

Comme tout programme, les contrats intelligents, ou smart-contracts sont susceptibles de présenter des vulnérabilités classiques liées à l’étape de programmation. Une faille courante est la reentrancy, un défaut causé par une mauvaise vérification ou le placement inapproprié de conditions dans le code.  

Dans la pratique, ce type de vulnérabilité se manifeste lorsqu'un contrat intelligent permet à un utilisateur d'exécuter une fonction, comme celle de transférer des fonds, avant de confirmer si cette action est autorisée. Si la vérification est effectuée après l'exécution de la fonction, un attaquant peut abuser de cette faille pour répéter l'action à plusieurs reprises, exfiltrant ainsi des fonds ou des ressources de manière frauduleuse. 

La meilleure illustration de ce mode opératoire est celui de l'incident du Fei Protocol en avril 2022 qui a permis à son auteur de détourner près de 80 millions de dollars en tokens en exploitant une vulnérabilité reentrancy. 

Un autre scénario communément observé est celui des compromissions de contrats intelligents impliquant une absence ou une mauvaise gestion des contrôles d'accès. « Dans un programme, il existe différentes fonctions, et certaines d'entre elles sont conçues pour être exécutées exclusivement par un administrateur. Cependant, il arrive parfois que les développeurs omettent d'implémenter la restriction nécessaire, permettant ainsi à ces fonctions d'être utilisées par une personne non autorisée. », explique Benjamin Thomas. 

Enfin et comme pour tout développement, les langages de programmation utilisés dans le développement de la blockchain peuvent être une source importante de vulnérabilités. Ce fut le cas avec l'application Curve Finance, qui victime d’une faille dans le langage de programmation Vyper, a permis aux cybercriminels de détourner près de 73 millions de dollars. Un phénomène qui s'explique en grande partie par le caractère récent de ces langages plus propices à l'apparition de failles zero-day. 

Les applications décentralisées utilisent les mêmes frameworks de développement d'interfaces web (React, Angular, Vue.js) que les applications traditionnelles comme le souligne Benjamin Thomas :

Au-delà de l’infrastructure back-end, l’interface est aussi un point de vulnérabilité. Un cybercriminel peut par exemple détourner le trafic du site internet d'une application décentralisée pour le rediriger vers sa propre application. 

C'est notamment ce qui est arrivé à l'application Balancer, victime d'un détournement DNS qui a conduit au vol de 238 000 dollars d'actif en crypto-monnaies. 

De même, les techniques de phishing traditionnelles, telles que l'envoi d'emails frauduleux pour obtenir les identifiants des utilisateurs, restent une menace sérieuse. Les utilisateurs pourraient être trompés en entrant leurs informations sur des sites web ou des interfaces contrefaites, conduisant à la perte de leurs actifs numériques. 

Concernant les sources de données, le "Problème de l'Oracle" fait référence à une vulnérabilité des smart-contracts. Les contrats intelligents, par nature, ne peuvent interagir qu'avec d'autres éléments au sein de la blockchain. Pour récupérer des informations, ils doivent s'appuyer sur des "oracles", des intermédiaires qui servent de pont entre la blockchain et le monde extérieur. Dans ce cas de figure, le danger survient lorsque ces oracles sont compromis, fournissant des données fausses ou manipulées aux smart-contracts. 

En 2022, les protocoles DeFi ont perdu environ 403,2 millions de dollars à la suite de 41 attaques par manipulation d'oracles, selon Chainalysis. Ces attaques peuvent cibler directement les oracles en les compromettant pour qu'ils envoient des données erronées ou en exploitant des faiblesses dans leur conception, comme un manque de fiabilité ou de mise à jour des données. Une fois ces informations incorrectes inscrites dans la blockchain, elles y restent de façon permanente, affectant potentiellement toutes les opérations qui s'appuient sur ces données. Une situation qui remet en question la fiabilité et la sécurité des applications blockchain. 

Orange Cyberdefense offre une gamme complète de services pour accompagner les projets blockchain, en mettant l'accent sur la sécurité dès la phase de conception, on parle alors de "security by design". Cette étape implique une collaboration étroite avec les clients dès le début de leurs projets blockchain pour intégrer dans le développement du projet des jalons de sécurité. En plus de l'accompagnement à la conception, Orange Cyberdefense propose des prestations d'audit de smart-contracts, de protocoles Blockchain ou encore de gestion des clés privées pour s'assurer de la conformité avec les exigences et bonnes pratiques de sécurité. Une expertise qui couvre également l'accompagnement à la mise en conformité avec la réglementation, comme PSAN. 

Orange Cyberdefense peut également intervenir dans l'analyse forensique et l'analyse on-chain. La première consiste à examiner les traces d'une attaque, déterminant le chemin emprunté par l'attaquant et les vulnérabilités exploitées. Grâce à une analyse approfondie, les experts d'Orange Cyberdefense peuvent identifier précisément les tactiques, techniques et procédures utilisées par l'attaquant. 

Pour ce qui est de l'analyse on-chain, Orange Cyberdefense utilise une vaste base de données contenant les informations de nombreux portefeuilles d'actifs numériques associés à des cybercriminels ou des attaquants potentiels. Une ressource qui permet aux experts de tracer et de suivre les transactions, aidant ainsi les entreprises victimes, y compris leurs concurrents, à localiser les fonds dérobés en collaboration avec les autorités.  

En tant que partenaire qualifié Orange Cyberdefense est l'une des seules entreprises qui dispose des certifications pour l'accompagnement des projets blockchain avec une qualification PASSI (prestataire d'audit de sécurité des systèmes d'information) pour la mise en conformité PSAN. Orange Cyberdefense dispose aussi des qualifications PDIS (prestataire de détection d’incidents de sécurité) et PRIS (prestataire de réponse aux incidents de sécurité).