Le projet Bitcoin Core a révélé une faille de confidentialité affectant la fonctionnalité -privatebroadcast, introduite dans la version 31.0 du logiciel. Dans certaines conditions, cette option censée masquer l’adresse IP de l’émetteur lors de la diffusion d’une transaction peut au contraire exposer cette information au nœud destinataire.
Le problème concerne uniquement les utilisateurs ayant activé -privatebroadcast et diffusant leurs transactions via la commande sendrawtransaction. Lorsqu’une connexion sécurisée utilisant le protocole BIP324 échoue, Bitcoin Core peut retenter la connexion en utilisant l’ancien protocole v1 sans passer par Tor, révélant alors l’adresse IP réelle de l’utilisateur. Selon les développeurs, un pair malveillant pourrait volontairement provoquer cet échec afin de contourner les protections de confidentialité promises par cette fonctionnalité.
Une correction sera intégrée à Bitcoin Core 31.1. En attendant, les utilisateurs concernés sont invités à désactiver -privatebroadcast, à désactiver BIP324 ou à forcer l’ensemble de leurs connexions sortantes à transiter par Tor. Cette vulnérabilité a été découverte par le chercheur Eugene Siegel et rappelle que les nouvelles fonctionnalités dédiées à la protection de la vie privée nécessitent une vigilance particulière avant d’être considérées comme pleinement fiables.
Source : https://bitcoincore.org/en/2026/06/06/privatebroadcast-ip-leak/
