Dans un message diffusé mercredi, les administrateurs de bitcoin.org s’inquiètent d’une menace potentielle pesant sur leur site. Ils affirment ainsi que les fichiers binaires de la prochaine version de Bitcoin Core pourraient être ciblés par des attaquants soutenus par la Chine. Pour s’assurer de l’intégrité des fichiers téléchargés il faudra donc vérifier les signatures cryptographiques de leur empreinte numérique. Notons que ce message n’a pas été repris sur le site officiel des développeurs de Bitcoin Core.
Pour Nicolas Bacca, CTO de Ledger, l’avertissement publié sur bitcoin.org est probablement le résultat d’une initiative isolée sans fondement solide, ce que confirme également Nicolas Dorier, contributeur de Bitcoin Core : « J’ignore pourquoi un tel message a été publié. Quoi qu’il en soit nous devons agir comme s’il était fondé […]. Nous devons pouvoir faire face au pire. »
Message publié sur bitcoin.org
« Bitcoin.org a des raisons de penser que les fichiers binaires de la prochaine version de Bitcoin Core seront probablement ciblés par des attaquants soutenus par un État. En tant que un site Web, Bitcoin.org n’a pas les moyens techniques de se défendre de façon assurée contre des attaquants de ce calibre. Nous demandons à la communauté Bitcoin, et en particulier la communauté chinoise, d’être très vigilante lors du téléchargement des fichiers binaires à partir de notre site Web.
Dans une telle situation, un défaut de prudence lors du téléchargement des fichiers binaires pourrait vous faire perdre tous vos bitcoins. Un logiciel malveillant pourrait également permettre à des pirates d’utiliser votre ordinateur pour participer à des attaques contre le réseau. Nous pensons que les sociétés chinoises telles que les coopératives minières et les échanges sont les plus exposées en raison de l’origine des assaillants.
L’empreinte numérique des fichiers binaires de Bitcoin Core est cryptographiquement signée avec cette clé appartenant à J. Wladimir van der Laan, gestionnaire de Bitcoin Core. Les signatures d’autres développeurs peuvent être trouvées dans le référentiel de signatures Gitian.
Nous vous recommandons fortement de télécharger la clé de Wladimir depuis de multiples sources en complément de Bitcoin.org afin de les comparer. Par exemple, vous pouvez recouper la clé référencée par Bitcoin.org avec la celle de la liste de diffusion bitcoin-dev où Wladimir a signé un message contenant l’empreinte numérique de la clé (01EA5486DE18A882D4C2684590C8019E36C2E964). Nous vous encourageons à chercher d’autres sources encore afin de vous assurer que vous avez vérifié votre téléchargement avec la bonne clé. En outre, nous vous recommandons de vérifier les fichiers avec les signatures de plusieurs développeurs enregistrées sur le référentiel Gitian.
Vérifier les signatures et les empreintes numériques avant d’exécuter les fichiers est la meilleure façon d’installer Bitcoin Core en toute sécurité. C’est le moyen le plus sûr de vous assurer que le logiciel que vous installez est le même que celui créé par les développeurs de Bitcoin Core. »