X

News Partenaire

Attaques DDoS : ne vous laissez pas submerger !

GitHub, OVH ou le Liberia et même récemment l’ANSSI, ont en commun d’avoir été ciblés par des attaques de type DDoS (Distributed Denial of Service) avec des conséquences allant de la perte d’activité, de visibilité jusqu’à une absence totale de connectivité. Ces offensives s’appuient sur des systèmes informatiques (PC, serveurs ou objets connectés) qui envoient massivement des requêtes à un site pour le saturer et au final le faire tomber.

Un bug des portefeuilles multi-signatures de Parity gèle des milliers d’Ether

C’est soi-disant « par hasard » qu’une personne est parvenue à geler l’intégralité des portefeuilles de cybermonnaies multi-signatures de l’éditeur Parity. Conséquence : tous les fonds sont gelés, représentant près de 300 millions de dollars. Plusieurs solutions sont envisagées, dont une radicale. 

Parity est un éditeur de portefeuilles dits multi-signatures de gestion de cybermonnaies, en l’occurrence d’Ether. C’est-à-dire que plusieurs personnes partagent un portefeuille commun, et qu’il nécessite donc l’approbation des propriétaires pour débloquer les fonds. C’est le principe développé par Parity, qui est très utilisé pour les levées de fonds en cybermonnaies par exemple. 

Pour comprendre ce qu’il s’est passé le 7 novembre, il faut remonter à juillet dernier. A l’époque, une première faille avait touché les portefeuilles multi-signatures de Parity : elle permettait de connaître les propriétaires, de s’approprier un smart contract et donc les fonds qui y étaient déposés. Parity avait assez rapidement corrigé la faille en diffusant un correctif le 20 juillet. C’est sur cette version qu’une seconde faille a été découverte le 7 novembre par un curieux hasard. 

Ce qu’il s’est vraiment passé

« Les portefeuilles de Parity se basent sur un smart contract générique qui est lui-même appelé par les autres portefeuilles des utilisateurs. A l’inverse de la faille de juillet, qui permettait de connaître les constructeurs d’un smart contract, cette nouvelle faille permet de révéler le destructeur. C’est-à-dire que chaque smart contract dispose d’une fonction « safe destruct » qui comme son nom l’indique permet de supprimer le smart contract de la blockchain et de récupérer les fonds qu’il héberge », nous explique Renaud Lifchitz, consultant chez Digital Security. 



Ce qui s’est passé hier n’est pas banal. En l’occurrence, c’est un utilisateur qui dit avoir fait la manipulation accidentellement. Ce faisant, il a bloqué l’intégralité des fonds déposés dans les portefeuilles Parity. Cela représente selon nos informations environ 930 000 Ether, soit un peu moins de 300 millions de dollars. En « tuant » le smart contract générique de Parity, les portefeuilles créés après le 20 juillet sont donc désormais muets puisqu’ils « appellent une fonction qui n’existe pas », ajoute Renaud Lifchitz. 

Plusieurs solutions envisagées

On ne peut évidemment pas laisser des centaines de millions de dollars dans la nature. En revanche, pour le moment, aucune solution n’a été trouvée. Dans un communiqué diffusé hier, Parity écrit : « nous continuons d’investiguer et de considérer tant les possibles implications que les différentes options » pour résoudre ce problème. En revanche, l’éditeur affirme que les fonds ne peuvent pas être bougés. 


Plusieurs solutions sont envisagées. La première, certainement la plus triviale, serait de trouver une faille et donc d’accéder aux portefeuilles de manière détournée afin de récupérer les fonds. « Pas si simple, puisque les smart contacts sont très sécurisés », rappelle Renaud Lifchitz. Deuxième solution : un hard fork, c’est-à-dire un changement radical du protocole et qui nécessite une mise à jour de tous les nœuds du système. C’est le choix qu’avait fait The DAO en juin 2016, créant une énorme défiance de la part de la communauté. Enfin, le troisième choix a été proposé par Vitalik Butterin, le créateur d’Ethereum : il s’agit d’une amélioration intrinsèque du protocole Ethereum qui consiste à créer une porte de sortie générique pour éviter le gel des fonds. Cette solution, considérée comme étant la plus consensuelle, entraînerait la création d’un hard fork générique. 

D’autres options seraient également à l’étude chez Parity, qui joue ici sa réputation voire sa survie. L’issue de cette histoire aura fatalement des répercussions, non seulement sur les cybermonnaies mais aussi sur les ICO, les levées de fonds en cybermonnaies.  


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Blockchain et développement

Blockchain et développement

Après l’engouement rencontré par les projets de développements de Blockchain en 2017, notamment sur Ethereum, où en est la technologie aujourd’hui ? Quels projets ont débouché sur des...

Le Cloud Made in France

Le Cloud Made in France

Face aux géants américains et asiatiques, nos cloud providers suivent deux stratégies : s’adapter ou résister. Si certains, OVH en tête, entendent conquérir le monde, d’autres jouent la...

LIBRA

LIBRA

Elle n’est pas encore née qu’elle fait déjà les gros titres ! Libra, monnaie virtuelle conçue par Facebook, a été dévoilée dans un livre blanc. Indexée sur un panier...

Les métiers de l’Anssi

Les métiers de l’Anssi

Alors qu’elle fête ses dix ans d’existence, l’Anssi poursuit sa croissance à un rythme soutenu. Elle devrait recruter cette année plus d’une centaine de collaborateurs, dont des développeurs,...

Europe du Numérique

Europe du Numérique

Le marché unique du numérique était l’une des priorités de la Commission européenne présidée par Jean-Claude Juncker. Le 6 mai 2015, elle présentait la stratégie pour...

RSS
Afficher tous les dossiers

TRANFO NUMÉRIQUE : Schumpeter ou Solow ?... Destruction créatrice ou réorganisation ? - Cybersécurité : le modèle Zero trust - Les recettes tech de Meero - Devops : l'open source entre dans la normalité - Processeurs : AMD se détache ! - Infrastructure as Code : l'IAC avec Terraform - Emploi : Que valent les plates-formes pour freelances ?...

 

CLOUD MADE IN FRANCE : pure players, telcos, comparatif des offres - Libra, la monnaie Facebook - L'analytique mange le logiciel - ERP, dernier bastion du "on premise" ? -Les métiers de l'ANSSI - Blockchain : projets open source et langages - Le sport, vitrine des technologies - Rencontre avec Alexandre Zapolsky (Linagora)...

 

OUTILS COLLABORATIFS : comment ils rendent l'entreprise plus agile - F8, Build, I/O, WWDC : Conf. développeurs, les annonces à retenir, les produits à venir - Supercalculateurs : l'Europe contre-attaque ! - DevSecOps, la sécurité au coeur du changement - Vendre et échanger des données - Migrer d'Oracle DB vers PostgreSQL - Ghidra : le framework de la NSA en Open Source...

 

Afficher tous les derniers numéros
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs
Derniers commentaires
Une affiche du Quelque 500 millions de dollars pour "The Office", 425 pour "Friends", et bientôt plus d'un milliard pour "The Big Bang Theory": à l'heure où les plateformes de vidéo en ligne, engagées dans une bataille sans merci, rivalisent de nouveautés, les vieilles séries valent encore de l'or. [Lire la dépêche...]

Alain Thébault (à droite) lors d'un test de Sea Bubble en mai 2018 sur la Seine à ParisDes essais des Sea Bubbles, ces "taxis volants" sur l'eau, vont reprendre lundi à Paris, grâce à une dérogation de la préfecture de la région Ile-de-France qui envisage une exploitation commerciale à partir du printemps 2020. [Lire la dépêche...]


Des enquêtes et des reportages de qualité, impliquant un travail d'investigation, vont être mis en avant dans les résultats de recherche de GoogleLes informations exclusives et les reportages originaux impliquant un travail d'investigation vont être mis en avant dans les résultats de recherche de Google, a annoncé le géant américain de l'internet, un changement qui a nécessité des modifications de son algorithme. [Lire la dépêche...]

Le logo de Libra, projet de cryptomonnaie lancé par Facebook, fourni le 17 juin 2019 par Libra PressLes obstacles s'accumulent autour du projet de cryptomonnaie Libra lancé par Facebook, avec l'opposition montante de gouvernements et régulateurs, même s'il demeure en position de force. [Lire la dépêche...]

Un jeune Français, qui s'était lancé dans une vaste arnaque sur internet faisant 28.000 victimes depuis le début de l'année, a été interpellé et placé sous contrôle judiciaireUn jeune Français, qui s'était lancé dans une vaste arnaque sur internet faisant 28.000 victimes depuis le début de l'année, a été interpellé et placé sous contrôle judiciaire, a-t-on appris vendredi de source proche du dossier confirmant une information de RTL. [Lire la dépêche...]

Google s'est engagé jeudi à rappeler à ses employés qu'ils sont libres d'exprimer leurs opinions sur les Google s'est engagé jeudi à rappeler à ses employés qu'ils sont libres d'exprimer leurs opinions sur les "questions relatives au travail", en vertu d'un accord avec une agence gouvernementale qui enquêtait sur le géant de l'internet. [Lire la dépêche...]

Le logo de Google photographié sur un écran d'ordinateur. Le géant de la recherche en ligne est visé par une enquête sur des pratiques anti-concurrentielles menée par 40 Etats fédérés américainsUn accord "historique" selon Bercy: le géant américain de l'internet Google, qui était visé par une enquête pour fraude fiscale, a accepté jeudi de verser près d'un milliard d'euros pour solder l'ensemble de ses contentieux avec le fisc français. [Lire la dépêche...]

Séance photos à la Ils posent dans une piscine remplie de boules roses ou en jetant des poignées de confettis multicolores: des jeunes Britanniques se sont offerts, pour quelques heures, un vrai studio photo afin de publier leurs selfies préférés sur les réseaux sociaux. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

SALONS SOLUTIONS

ERP, CRM, BI, E-Achats, Démat, Archivage, SDN/InfotoDoc, Serveurs & Applications - du 1er au 3 octobre 2019 à Paris, Porte de Versailles (Pavillon 3). Organisés par Infopromotions.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 9 au 12 octobre 2019. Organisées par DG Consultants.

PARIS WEB

La conférence francophone des gens qui font du web a lieu du 10 au 12 octobre 2019 à l'IBM Client Center de Bois-Colombes. Organisée par Paris Web.
RSS
Voir tout l'AgendaIT