X
News Partenaire Paessler
Les solutions de surveillance réseau

Ce que vous devez savoir sur les solutions de surveillance des infrastructures informatiques des PME. [Lire l'article...]

La cryptomonnaie Ether victime d’un piratage massif

Le hacker se serait emparé de 50 millions de dollars, soit le tiers du montant levé voici 3 semaines dans le cadre du projet TheDAO, le premiers fonds d’investissement décentralisé basé sur la blockchain. Il s’agit d’un coup très dur pour le projet en particulier et pour les cryptomonnaies en général.

Vendredi matin, le projet TheDAO a pris un coup sur la tête peut-être définitif. En effet, en profitant d’une faille du système, en l’espèce une vulnérabilité d'appel récursif, où le hacker appelle la fonction "split" en boucle pour recueillir les jetons lui permettant de créer une DAO fille sur laquelle il a le droit de curation, passé un certain délai. Dès lors, il peut convertir ses jetons en Ether et reconvertir ensuite les Ether dans une autre monnaie réelle. Avec le bug, il a pu multiplier ses appels et a donc siphonné près du tiers des jetons. Mais le pire est que le bug n’est toujours pas corrigé et qu’une autre personne l’a démontré ce week-end en siphonnant une dizaine de jetons, pour montrer le bug. Aussi, si rien n’est fait - et rien ne semble être fait pour le moment - la totalité des fonds va être évaporée. En effet, le pirate qui a agi vendredi a récupéré 50 millions de dollars au cours de vendredi de la cryptomonnaie Ethereum. Depuis, la somme est moins importante, car le cours de ce dérivé du Bitcoin a fortement chuté à la suite de ce piratage, -33% pour la seule journée de vendredi.

De 500 000 dollars à 150 millions

Au mois de mai dernier se créait une nouvelle DAO (Decentralized Autonomous Organization), c’est-à-dire un ensemble de règles de gouvernance de projet définies par une communauté. Baptisée TheDAO, elle donnait naissance au premier fonds d’investissement basé sur ce principe organisationnel et qui a levé des fonds via une campagne de financement participatif.

«Au départ, il s’agissait d’un projet bien précisé comme étant en Bêta et qui visait à lever 500 000 dollars pour créer des serrures connectées », comme le précise Renaud Lifchitz, consultant en sécurité et membre de la communauté Ethereum. L’affaire a tellement bien marché que le fonds a récolté près de 10% des pièces Ether en circulation, soit 100 millions de dollars. Depuis le cours avait continué à progresser et le montant atteignait environ 150 millions de dollars, donc une bien belle affaire pour les participants. Aussi au-delà du projet initial, TheDAO pouvait donc être en mesure de financer différents projets à la manière de ce que font les capitaux-risqueurs traditionnels mais dans une structure décentralisée et virtuelle.

Tout ceci semblait magnifique mais, patatras, un pirate vient de mettre par terre cette « belle » organisation en profitant d’un énorme bug dans le fonctionnement de cette blockchain.

Pour le moment tout est bloqué et la seule solution pour récupérer l’argent est de dérouler la blockchain mais ceci s’oppose à la philosophie générale du projet qui, pour certains puristes, supposent que l’intervention humaine soit nulle, y compris en cas d’attaque. L’autre solution – qui semble être celle vers laquelle on pourrait se diriger – suppose de créer un fork mais là encore l’opération n’est pas sans risque. Comme l’indique le professeur d’informatique Emin Gün Sirer : «  c’est l'un des scénarios cauchemar qui inquiétait tout le monde, à savoir que quelqu’un exploite une faille du DAO pour dérober une grosse somme ».

Soft ou Hard Fork mais fonds perdus

Renaud Lifchitz indique que deux méthodes sont possibles : soft ou hard fork. C’est la première qui semble vouloir être utilisée. Elle consiste à donner aux mineurs une nouvelle version du programme qui n’accepte pas dans la blockchain les jetons de la DAO du pirate ou d’une fille. En gros les fonds sont gelés et il ne pourra rien en faire. L’autre solution consisterait à distribuer une nouvelle version qui effectuerait un roll-back de toutes les transactions avec cette DAO mais cela signifie que toutes ces transactions seraient perdues et tous les achats invalidés. Pour que la première méthode fonctionne (le soft fork), il faut que plus de la moitié des mineurs acceptent cette nouvelle version, ce qui n’est pas garanti. Cependant, y compris dans le soft fork, même si les fonds ne pourront pas être utilisés par le pirate, ils seront tout de même perdus pour les investisseurs. Et c’est un autre paradoxe que souligne Renaud Lifchitz : « le choix du soft fork a été proposé par les développeurs de la DAO et soumis à l'acceptation d'une majorité de mineurs alors qu’il devrait être fait par les actionnaires, ceux-là mêmes qui sont susceptibles de perdre ou pas leurs investissements ».

M. Lifchitz souligne que l’on se trouve aujourd’hui devant un choix politique et non plus technique dans lequel on accepte un système totalement décentralisé avec ses failles ou un système plus centralisé. « c’est une affaire de choix politique et moral ».

En effet, pour que les 100 et quelques millions de dollars ne disparaissent pas purement et simplement, il faut inverser totalement le fonctionnement et recourir à une mesure centralisée, mesure justifiée par l’ampleur du piratage. Mais le pirate lui-même pourrait s’opposer à la mesure considérant qu’elle est contraire au principe de fonctionnement du système, principe qui l’a lui-même conduit à adhérer, considérant que la vulnérabilité n’en était pas une mais bien une « fonctionnalité » qu’il a utilisée. Comme le souligne le blog Errata Security :

Dans tous les cas, le concept de base du TheDAO est une utopie totalement inutile. À la base, le Bitcoin a été créé par des personnes qui connaissaient le fonctionnement de la monnaie. TheDAO a été créé par des gens profondément naïfs sur l’investissement. C’est comme si vous mettiez toutes vos économies aux mains de singes savants. L’ambition de TheDAO était de se baser sur la sagesse des foules en estimant que tout le monde fera des choix avisés pour profiter à la collectivité. Mais c’est devenu l’ignorance des monstres où tout le monde pense que personne ne tentera de tromper le système. En fait, ce piratage est bienvenu parce qu’on a compris les limites du système avant qu’il devienne trop important. Si TheDAO avait continué de cette manière, alors ce serait devenu une sorte de pyramide de Ponzi en provoquant l’arrestation de ces créateurs »

Inscription gratuite à la newsletter de L'Informaticien.

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Actuellement à la Une...
Enquête Express Présidentielle
Parmi les candidats à l'élection présidentielle quel est celui qui accorde selon vous le plus d'importance au numérique, à l'IT et à la high tech dans son programme et les réformes envisagées ?











Voter  Afficher les résultats
Votre vote, unique, reste confidentiel.
Dossier L'1FO

Sécurité SI : 4 menaces à la loupe

Les cybercriminels possèdent bien souvent une longueur d’avance sur les solutions technologiques de sécurité. Sensibiliser les collaborateurs à certaines bonnes pratiques constitue donc une mesure préventive incontournable face aux ransomwares, à l’ingénierie sociale ou aux APT.

Afficher tous les dossiers
Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur la rubrique Emploi avec notre partenaire



LIVRES BLANCS

Visualisation et gestion des projets et des connaissances avec MindManager Enterprise et Microsoft SharePoint, un Livre Blanc Mindjet-Corel.

Découvrez dans ce Livre Blanc comment vous bénéficiez, en tant qu’utilisateur, de l’intégration entre MindManager Enterprise et Microsoft SharePoint. Deux des principaux domaines d’application sont mis en évidence : d’une part les maps d’informations, de navigation et de connaissances, et d’autre part les maps de gestion de projet avec des tâches SharePoint synchronisées. 

 


HPE 3PAR : Le stockage 100%  flash de référence, un Livre Blanc HPE.

Avec un volume de données augmentant de 40% par an dans l’ensemble des entreprises et une demande des utilisateurs de pouvoir y accéder depuis n’importe quel terminal (PC, tablettes, smartphones), les solutions Flash tendent à devenir incontournables. Découvrez dans ce livre blanc pourquoi HPE 3PAR est devenue la solution de référence pour les entreprises soucieuses de réaliser leur transformation numérique dans les meilleures conditions possibles.

 


Déployer rapidement un micro datacenter, un Livre Blanc Schneider Electric. 

Ce document traite de la mise en place d'améliorations réalistes au niveau de l'alimentation, du refroidissement des racks, de la sécurité physique, de la surveillance et de l'éclairage. Il se concentre sur les petites salles serveurs et succurscales de 10kW de charge informatique maximum.


Apporter des solutions aux préoccupations relatives à la cybersécurité
des plates-formes de surveillance à distance des datacenters
, un Livre Blanc Schneider Electric. 

Les services de surveillance à distance numérique permettent de surveiller et d'analyser en temps réel, les données des systèmes d'infrastructures physisques des datacenters.

Ce document décrit les aspects de sécurité clés liés au développement et à l'exploitation de plates-formes de surveillance à distance reposant sur le cloud qui protègent la confidentialité des données et la sécurité des systèmes d'infrastructures contre les attaquants. 


Le stockage flash au service des applications cloud, Un Livre Blanc PureStorage.

Le cloud computing transforme la façon dont les organisations développent et distribuent des applications. Les équipes de développement peuvent utiliser des clouds privés, publics ou hybrides afin de configurer rapidement de nouvelles infrastructures qui n'interfèrent pas avec les ressources ou opérations existantes. 


Tous les Livres Blancs
Le Kiosque

GESTION DES SERVICES IT / ITSM : la DSI face à ses multiples défis - Cyberdéfense : la France renforce son arsenal - Nantes Tech : on y joue collectif ! - Solutions analytiques : quels besoins pour quels métiers ? - Le BASIC se découvre une nouvelle jeunesse - Quelles compétences recherchent les ESN en 2017 ? - Rencontre avec Laurent Leloup, auteur de «Blockchain : la révolution de la confiance»...

 

CLOUD SOUVERAIN : mythes et réalités - Cas pratique : quand les données partent en balade... - Choisir sa solution d'Emailing - Apps mobiles : créez-les sans coder ! - Bootstrap : l'étincelle qui va faire briller vos sites Web - Rencontre avec Ludovic Le Moan (Sigfox) : "Il n'est pas possible d'ignorer la transformation sociale liée à l'IoT" - Les technos grand public qui vont percer en 2017...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
La compagnie aérienne américaine United Airlines a déclenché une tempête sur les réseaux sociaux en empêchant deux filles d'embarquer dimanche sur un vol à Denver parce qu'elles portaient des leggingsLa compagnie aérienne américaine United Airlines a déclenché une tempête sur les réseaux sociaux en empêchant deux filles d'embarquer dimanche sur un vol à Denver parce qu'elles portaient des leggings. [Sommaire]

Le satellite Eutelsat 172B au siège d'Airbus Defence and Space à Toulouse, le 15 mars 2017, avant son départ pour la GuyaneLe premier satellite tout électrique européen est bloqué depuis plusieurs jours dans un container de l'aéroport de Guyane à Matoury en raison de la crise sociale qui paralyse le territoire, a-t-on appris dimanche auprès du CNES. [Sommaire]

Des ombres de passants sont projetées sur les fleurs déposées en hommage aux victimes de l'attentat au Parlement de Londres, le 25 mars 2017Quatre jours après l'attentat au Parlement de Londres, les enquêteurs cherchaient toujours dimanche de possibles complicités, la ministre de l'Intérieur appelant les services de messagerie sécurisée comme WhatsApp à collaborer avec les autorités pour ne pas fournir de "cachette aux terroristes". [Sommaire]

Le candidat à la présidentielle du parti Les Républicains François Fillon avant l'Emission politique sur France 2 le 23 mars 2017 à ParisLa passe d'armes entre l'écrivain Christine Angot et le candidat LR à la présidentielle François Fillon dans l’Émission Politique connaît un grand succès sur les réseaux sociaux et divisait toujours samedi presse et commentateurs. [Sommaire]

La justice annule une décision interdisant les ventes d'iPhone6Un tribunal pékinois a annulé vendredi la décision d'une autorité administrative, qui avait reconnu Apple coupable d'avoir enfreint le brevet d'un fabricant local et avait enjoint l'américain de cesser la vente en Chine de son smartphone iPhone6. [Sommaire]

Un voyageur met son ordinateur dans son sac avant de s'envoler pour Londres à l'aéroport de Tunis le 25 mars 2017Fini les ordinateurs en cabine: l'interdiction imposée par les Etats-Unis et la Grande-Bretagne sur certains vols en provenance de pays arabes et de Turquie est entrée en vigueur samedi, au grand dam des voyageurs d'affaires et de certains parents. [Sommaire]

La star des Cavaliers LeBron James monte au panier contre les Lakers au Staples Center, le 19 mars 2017 à Los AngelesLa diffusion de matches de sport en direct reste le dernier domaine réservé pour les diffuseurs traditionnels, mais à l'heure des smartphones et du streaming, les choses pourraient bien basculer prochainement. [Sommaire]

La fronde des annonceurs publicitaires contre Google et sa filiale YouTube aura un impact financier pour le géant internet La fronde grandissante des annonceurs publicitaires contre Google et sa filiale de vidéo YouTube ne devrait pas avoir un impact financier suffisant pour ébranler le coeur d'activité du géant internet américain, mais elle pourrait remettre en question certaines pratiques sur le marché. [Sommaire]

Un enfant souffrant de malnutrition nourri par sa mère à l'hôpital de Baidoa, en Somalie, le 15 mars 2017Un jeune Français installé aux Etats-Unis et star des réseaux sociaux a réuni en quelques tweets 2 millions de dollars de dons pour affréter un avion chargé de nourriture vers la Somalie, menacée de famine par une grave sécheresse. [Sommaire]

Un visiteur du salon Grâce à la démocratisation de la réalité virtuelle (VR), les professionnels s'engouffrent sur le marché prometteur du divertissement: sports virtuels, jeux vidéo, cinéma et attractions, ces expérimentions en tous genres sont exposées jusqu'à dimanche au Salon Laval Virtual. [Sommaire]

Toutes les dépêches AFP

AgendaIT

ACCESSECURITY

AccesSecurity, salon méditerranéen de la sécurité globale, se tient à Marseille (Chanot) du 29 au 31 mars 2017. Organisé par Safim.

DOCUMATION

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, les 29 et 30 mars 2017  à Paris Porte de Versailles Hall 2.2. Organisé par Reed Expositions.

SIDO

La 3ème édition du SIdO, le Showroom de l’industrie IoT, aura lieu les 5 et 6 avril 2017 à la Cité Internationale de Lyon. Organisé par CObees.

DEVOXX

Devoxx France, la conférence pour les développeurs passionnés, tient sa 6ème édition du 5 au 7 avril 2017 à Paris au Palais de Congrès de la Porte Maillot. Organisée par Quantixx.

CYBER PAIX

« Construire la paix et la sécurité internationales de la société numérique », un colloque sur ce thème est organisé à l'Unesco les 6 et 7 avril 2017 à l'initiative de l'Anssi, en lien avec le ministère des Affaires étrangères et du Développement international. Organisé par l'Anssi avec l'agence Isobar.
La 9ème Journée Française des Tests Logiciels se tient à Montrouge (Beffroi) le 11 avril 2017. Organisée par le CFTL (Comité Français des Tests Logiciels).

LEADE.RS

Deux jours de conférences sur les tendances technologiques majeures du moment les 11 et 12 avril 2017 à Paris (Palais de la Mutualité). Organisé par Loïc Le Meur.
Voir tout l'AgendaIT