X

News Partenaire

De l’ITSM à l’ESM

A partir de son activité de gestion de parcs, EasyVista a créé un moteur de gestion d’actifs et de gestion des processus. C’est aujourd’hui ce qui permet aux clients de gérer le cycle de vie de ces actifs : depuis l’initialisation jusqu’au provisionning ou la mise à disposition à l’utilisateur. C’est un tout cohérent de production de services. Grâce à ces solutions, le Service Informatique peut analyser les besoins des utilisateurs, identifier les solutions, les services et les mettre à disposition des utilisateurs.

La cryptomonnaie Ether victime d’un piratage massif

Le hacker se serait emparé de 50 millions de dollars, soit le tiers du montant levé voici 3 semaines dans le cadre du projet TheDAO, le premiers fonds d’investissement décentralisé basé sur la blockchain. Il s’agit d’un coup très dur pour le projet en particulier et pour les cryptomonnaies en général.

Vendredi matin, le projet TheDAO a pris un coup sur la tête peut-être définitif. En effet, en profitant d’une faille du système, en l’espèce une vulnérabilité d'appel récursif, où le hacker appelle la fonction "split" en boucle pour recueillir les jetons lui permettant de créer une DAO fille sur laquelle il a le droit de curation, passé un certain délai. Dès lors, il peut convertir ses jetons en Ether et reconvertir ensuite les Ether dans une autre monnaie réelle. Avec le bug, il a pu multiplier ses appels et a donc siphonné près du tiers des jetons. Mais le pire est que le bug n’est toujours pas corrigé et qu’une autre personne l’a démontré ce week-end en siphonnant une dizaine de jetons, pour montrer le bug. Aussi, si rien n’est fait - et rien ne semble être fait pour le moment - la totalité des fonds va être évaporée. En effet, le pirate qui a agi vendredi a récupéré 50 millions de dollars au cours de vendredi de la cryptomonnaie Ethereum. Depuis, la somme est moins importante, car le cours de ce dérivé du Bitcoin a fortement chuté à la suite de ce piratage, -33% pour la seule journée de vendredi.

De 500 000 dollars à 150 millions

Au mois de mai dernier se créait une nouvelle DAO (Decentralized Autonomous Organization), c’est-à-dire un ensemble de règles de gouvernance de projet définies par une communauté. Baptisée TheDAO, elle donnait naissance au premier fonds d’investissement basé sur ce principe organisationnel et qui a levé des fonds via une campagne de financement participatif.

«Au départ, il s’agissait d’un projet bien précisé comme étant en Bêta et qui visait à lever 500 000 dollars pour créer des serrures connectées », comme le précise Renaud Lifchitz, consultant en sécurité et membre de la communauté Ethereum. L’affaire a tellement bien marché que le fonds a récolté près de 10% des pièces Ether en circulation, soit 100 millions de dollars. Depuis le cours avait continué à progresser et le montant atteignait environ 150 millions de dollars, donc une bien belle affaire pour les participants. Aussi au-delà du projet initial, TheDAO pouvait donc être en mesure de financer différents projets à la manière de ce que font les capitaux-risqueurs traditionnels mais dans une structure décentralisée et virtuelle.

Tout ceci semblait magnifique mais, patatras, un pirate vient de mettre par terre cette « belle » organisation en profitant d’un énorme bug dans le fonctionnement de cette blockchain.

Pour le moment tout est bloqué et la seule solution pour récupérer l’argent est de dérouler la blockchain mais ceci s’oppose à la philosophie générale du projet qui, pour certains puristes, supposent que l’intervention humaine soit nulle, y compris en cas d’attaque. L’autre solution – qui semble être celle vers laquelle on pourrait se diriger – suppose de créer un fork mais là encore l’opération n’est pas sans risque. Comme l’indique le professeur d’informatique Emin Gün Sirer : «  c’est l'un des scénarios cauchemar qui inquiétait tout le monde, à savoir que quelqu’un exploite une faille du DAO pour dérober une grosse somme ».

Soft ou Hard Fork mais fonds perdus

Renaud Lifchitz indique que deux méthodes sont possibles : soft ou hard fork. C’est la première qui semble vouloir être utilisée. Elle consiste à donner aux mineurs une nouvelle version du programme qui n’accepte pas dans la blockchain les jetons de la DAO du pirate ou d’une fille. En gros les fonds sont gelés et il ne pourra rien en faire. L’autre solution consisterait à distribuer une nouvelle version qui effectuerait un roll-back de toutes les transactions avec cette DAO mais cela signifie que toutes ces transactions seraient perdues et tous les achats invalidés. Pour que la première méthode fonctionne (le soft fork), il faut que plus de la moitié des mineurs acceptent cette nouvelle version, ce qui n’est pas garanti. Cependant, y compris dans le soft fork, même si les fonds ne pourront pas être utilisés par le pirate, ils seront tout de même perdus pour les investisseurs. Et c’est un autre paradoxe que souligne Renaud Lifchitz : « le choix du soft fork a été proposé par les développeurs de la DAO et soumis à l'acceptation d'une majorité de mineurs alors qu’il devrait être fait par les actionnaires, ceux-là mêmes qui sont susceptibles de perdre ou pas leurs investissements ».

M. Lifchitz souligne que l’on se trouve aujourd’hui devant un choix politique et non plus technique dans lequel on accepte un système totalement décentralisé avec ses failles ou un système plus centralisé. « c’est une affaire de choix politique et moral ».

En effet, pour que les 100 et quelques millions de dollars ne disparaissent pas purement et simplement, il faut inverser totalement le fonctionnement et recourir à une mesure centralisée, mesure justifiée par l’ampleur du piratage. Mais le pirate lui-même pourrait s’opposer à la mesure considérant qu’elle est contraire au principe de fonctionnement du système, principe qui l’a lui-même conduit à adhérer, considérant que la vulnérabilité n’en était pas une mais bien une « fonctionnalité » qu’il a utilisée. Comme le souligne le blog Errata Security :

Dans tous les cas, le concept de base du TheDAO est une utopie totalement inutile. À la base, le Bitcoin a été créé par des personnes qui connaissaient le fonctionnement de la monnaie. TheDAO a été créé par des gens profondément naïfs sur l’investissement. C’est comme si vous mettiez toutes vos économies aux mains de singes savants. L’ambition de TheDAO était de se baser sur la sagesse des foules en estimant que tout le monde fera des choix avisés pour profiter à la collectivité. Mais c’est devenu l’ignorance des monstres où tout le monde pense que personne ne tentera de tromper le système. En fait, ce piratage est bienvenu parce qu’on a compris les limites du système avant qu’il devienne trop important. Si TheDAO avait continué de cette manière, alors ce serait devenu une sorte de pyramide de Ponzi en provoquant l’arrestation de ces créateurs »

Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier L'1FO

RGPD : la parole aux entreprises !

Si de nombreuses entreprises n’ont pas encore débuté le chantier, ou très peu, d’autres l’ont déjà entamé depuis plusieurs mois. Nous avons interrogé trois d’entre elles pour comprendre leurs démarches. Article paru dans le n°158 de L'Informaticien.


Afficher tous les dossiers
Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur la rubrique Emploi avec notre partenaire


LIVRES BLANCS

Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Comment choisir la solution de surveillance réseau adéquate ?  Un Livre Blanc Paessler.

Pour que son infrastructure informatique lui donne entière satisfaction, toute entreprise doit pouvoir compter sur un réseau haute performance. Pour maintenir la fluidité des procédures, tous les processus doivent fonctionner de manière fluide, y compris les communications internes et externes entre sites de l’entreprise, ainsi qu’avec les clients et partenaires. Les dysfonctionnements et pannes des processus opérationnels provoquent facilement des pertes de temps et surtout d’argent.


Stockage Flash : 1 000 utilisateurs témoignent, un Livre Blanc HPE.

1 000 responsables informatiques ont été interrogés à l'initiative d'HPE afin de relater les "surprises", bonnes et mauvaises qu'ils ont rencontré lors du déploiement puis l'utilisation de solutions de stockage Flash. L'essentiel des configurations et des utilisations ont été passées en revue pour ce qui constitue la plus grande enquête jamais réalisée sur ce thème et qui permet à chacun de préparer au mieux sa propre voie d'évolution, ceci en évitant les écueils qu'ont pu rencontrer les professionnels interrogés. 


Tous les Livres Blancs
Le Kiosque

SMART CITY : de l'IT pour piloter les villes - Maîtrisez Windows 10 CREATORS UPDATE - Mettons les robots dans les nuages ! - Comment le BACKUP se réinvente - Créez un projet ARDUINO avec Circuito - Rencontre avec David Fayon : « Comment la France peut devenir la tête de pont du numérique en Europe »...

 

STOCKAGE CLOUD : un casse-tête pour la DSI ! - Règlement européen RGPD : la parole aux entreprises qui s'y mettent - Microsoft Build : toutes les annonces - Wanacrypt : récit d'une cyberattaque historique - French Tech Brest+ - Nginx, nouveau standard de serveur web - Chatbots : l'interface de demain ?...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
L'enceinte de confinement du réacteur 3 de la centrale de Fukushima (nord-est du Japon), le 10 février 2016Un robot a été dépêché cette semaine dans l'enceinte de confinement du réacteur 3 de la centrale saccagée de Fukushima (nord-est du Japon), mais le premier examen n'a pas permis d'apercevoir le combustible fondu, selon l'exploitant. [Sommaire]

Le 1er prototype de train de la société Hyperloop, présenté dans le Nevada le 12 juillet 2017 L'entrepreneur Elon Musk a annoncé jeudi que le projet de train à très grande vitesse qui relierait New York à Washington en 29 minutes seulement a reçu l'accord verbal du gouvernement, se disant "optimiste" quant à un accord formel qui pourrait intervenir "rapidement". [Sommaire]

Le logo de  Microsoft le 30 novembre 2016 à Bellevue, WashingtonLe groupe informatique américain Microsoft a publié des résultats trimestriels en forte hausse jeudi, marqués par une nouvelle progression de ses activités de services dématérialisés en ligne ("Cloud") sur lesquelles il fait désormais reposer son développement. [Sommaire]

Un site internet vendant de la drogue et des armes illégalement, le 30 octobre 2013 à ParisCoup dur pour les trafiquants qui opèrent sur le "Dark web": les polices américaine et européennes ont annoncé jeudi avoir fermé deux importants sites de "l'internet opaque", où s'échangeaient sous le manteau, et en toute discrétion, armes et drogues. [Sommaire]

Le satellite observera des forêts tropicales, comme ici au Guatemala, victime de la sécheresse Un nouvel outil de mesure du réchauffement de la planète entre en piste: Venµs, premier satellite d'observation de la végétation dédié au changement climatique, prendra début août ses quartiers à 720 km au-dessus de la Terre. [Sommaire]

Pékin a ordonné aux géants du web chinois comme Baidu de fermer les sites qui publient des informations politiquement sensiblesPékin a ordonné aux grandes entreprises technologiques chinoises de faire le ménage sur internet en fermant les sites qui publient des informations politiquement sensibles. [Sommaire]

Le duel entre Google et Bruxelles n'est pas prêt de finirLe duel entre Google et la Commission européenne, qui a infligé une amende record fin juin au géant américain pour abus de position dominante, risque de durer encore des années. [Sommaire]

Facebook se prépare à laisser les médias qui proposent du contenu sur sa plateforme limiter le nombre d'articles en libre accès et proposer des abonnementsFacebook se prépare à laisser les médias qui proposent du contenu sur sa plateforme limiter le nombre d'articles en libre accès et proposer des abonnements, à l'instar de ce qu'ils font déjà sur leurs propres sites. [Sommaire]

Près de huit cadres sur dix consultent leurs communications professionnelles  pendant leurs week-ends ou leurs vacancesPrès de huit cadres sur dix (78%) consultent leurs communications professionnelles (e-mails, sms, appels...) pendant leurs week-ends ou leurs vacances, la moitié voyant dans cette possibilité "un facteur de stress supplémentaire", selon un sondage Ifop pour Securex, cabinet prestataire en ressources humaines, publié mercredi. [Sommaire]

Un Indien se fait enregistrer ses empreintes digitales pour sa nouvelle carte d'identité Aadhaar, le 6 janvier 2017 à AmritsarLa Cour suprême indienne a commencé mercredi à entendre des plaidoiries en vue de déterminer si les Indiens possèdent ou non un droit constitutionnel à la vie privée, sujet brûlant en cet âge de numérisation croissante de la vie quotidienne. [Sommaire]

Toutes les dépêches AFP

AgendaIT

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 22 au 27 juillet 2017 à Las Vegas (Mandalay Bay). Organisé par UBM.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI et Big Data, E-Achats, Demat'Expo, Serveurs & Applications - se tiennent du 26 au 28 septembre 2017 à Paris, Porte de Versailles. Organisés par Infopromotions.

MICROSOFT EXPERIENCES'17

Deux jours de conférences et 10000 m2 d'espaces d'échange pour s'immerger dans les innovations du numérique les 3 et 4 octobre 2017 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Microsoft.

SMART CITY + SMART GRID

Exposition, contérences et ateliers, le salon de la ville et des territoires intelligents, durables et connectés Smart City + Smart Grig se tient les 4 et 5 octobre 2017 à Paris, Porte de Versailles (Pavillon 2.2). Organisé par Infopromotions.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 11 au 14 octobre 2017. Organisées par DG Consultants.

MOBILITY FOR BUSINESS

7ème édition de Mobility for Business, le salon des solutions mobiles pour une meilleure transformation digitale des entreprises, les 17 et 18 octobre 2017 à Paris Porte de Versailles (Hall 5.1). Organisé par Infopromotions.
L'OVH Summit, l'événement IT du leader européen du cloud, tient sa 5ème édition le 17 octobre 2017 au Paris Event Center (Paris 19ème). Organisé par OVH.
Voir tout l'AgendaIT