Fermeture prochaine de Cesium-web
Au 1er mai 2020, il ne sera plus possible de vous connecter à la Ğ1 via la version web de Cesium (Cesium-web), pour faire des transactions et certifier de nouveaux membres. Cesium-web restera cependant disponible en lecture, pour consulter vos comptes et vos certifications. Cette décision a été prise par les développeurs, en raison de potentielles failles de sécurité, qui pourraient affecter l’évolution de cette monnaie.
Le présent article a pour objectif :
- de vous présenter les causes et conséquences de cette décision,
- de détailler les procédures d’installation sur les différentes plateformes.
Pourquoi fermer Cesium-web ?
Rappels concernant la Ğ1
La monnaie libre Ğ1 est une monnaie cryptographique, c’est-à-dire qu’elle utilise des procédés de chiffrement pour garantir la légitimité de chaque transaction.
Chaque compte (membre ou portefeuille) est créé à partir d’un couple « identifiant secret / mot de passe », que vous saisissez pour vous authentifier dans Cesium. À partir de ce couple « id-mp », le système génère votre clé publique, grâce à un algorithme de chiffrement.
Et comme personne n’administre l’accès au réseau, chacun est donc responsable de ses propres données pour faire fonctionner ses comptes. C’est en particulier pour cela que vous ne pouvez pas récupérer vos mots de passe si vous les égarez-oubliez-perdez : personne d’autre que vous ne les connaît.
Vous l’avez compris : la seule manière d’accéder à votre compte (membre ou portefeuille), est de connaître votre « identifiant/mot de passe ». Et c’est pour éviter le vol potentiel de ces données, et donc de votre monnaie, que Cesium-web va fermer.
Comment peut-on me voler mes données sur Cesium-web ?
Lorsque vous demandez la page d’accueil de Cesium-web dans votre navigateur, par exemple : g1.duniter.fr, votre ordinateur va télécharger cette page depuis un serveur (un autre ordinateur sur Internet).
Puis, vous entrez vos données dans le formulaire de connexion avec vos « id-mp ». À chaque fois que vous faites ceci, Cesium recalcule votre clef publique d’accès à votre compte (vous pouvez d’ailleurs la vérifier pour voir si ce compte est bien le vôtre, et que les données saisies sont correctes). Tout ceci se passe bien sûr dans votre navigateur (Firefox, Chrome, Edge, etc.).
Normalement, le serveur sur lequel se trouve Cesium-web que vous utilisez à ce moment-là est honnête. Cependant, il est possible que le Cesium-web que vous téléchargez ait été modifié à des fins malveillantes, et vous ne pouvez pas le contrôler tout de suite. Il est donc possible que le serveur soit « corrompu » :
- soit par l’administrateur du serveur qui veut pirater des comptes,
- soit par des pirates qui auraient pris le contrôle du serveur.
Dans ces deux cas, le Cesium-web que vous allez utiliser pourrait envoyer vos données à ces gens mal intentionnés. Et voilà ! Vos précieuses Junes se sont envolés vers des contrées lointaines. D’autres conséquences sont à craindre, détaillées plus loin.
Vous le savez maintenant : il ne faut jamais entrer ses données de connexion pour un compte Ğ1 sur le web ou sur un ordinateur dont vous ne connaissez pas le propriétaire (il peut aussi récupérer vos données entrées dans le navigateur). Pour prévenir ce risque, changez de plan et jouez-la « local ».
En quoi une installation locale est-elle plus sécurisée ?
Lorsque vous installez Cesium localement (sur votre ordinateur ou smartphone), vous le téléchargez :
- une seule fois
- depuis le site officiel Cesium.app
Vous avez donc une grande confiance dans le fait que ce Cesium est honnête. De plus, il est beaucoup plus difficile pour des attaquants d’accéder à vos données, qui sont et restent dans votre ordinateur.
Enfin, quand des failles sont découvertes, vous pouvez bénéficier au plus tôt des versions corrigées en les téléchargeant, sans attendre qu’un administrateur le fasse sur son serveur.
Quelles sont les conséquences du vol de données via Cesium-web ?
Peut-être que la fermeture de Cesium-web vous semble une mesure trop forte. Voici donc listées trois conséquences, liées à son utilisation frauduleuse afin d’élargir notre vision des risques encourus.
Vol de monnaie
C’est le risque le plus évident : vous faire voler votre monnaie. Ceci est valable pour tous les comptes, membres ou portefeuilles.
Vol d’identité
Si vous vous faites voler les « id-mdp » de votre compte membre, l’attaquant peut en plus :
- certifier des comptes illégitimes depuis votre compte, et créer de la fausse monnaie pour lui-même sur ces comptes,
- révoquer votre compte : vous ne serez plus membre, ne bénéficierez plus du DU et ne pourrez plus certifier.
Si une telle attaque est réussie sur plusieurs comptes, l’attaquant pourrait créer beaucoup plus de monnaie Ğ1 que prévu, et ainsi instituer une perte de confiance dans la valeur réelle de la monnaie.
Émission de transactions frauduleuses
Si l’attaquant réussit à pirater de nombreux comptes membres, il pourrait agir au niveau de la blockchain pour :
- bloquer l’enregistrement des transactions ou des certifications (blocs vides),
- empêcher ou ralentir la création du dividende universel,
- …etc
Là aussi, une telle attaque entraînerait la perte de confiance dans la valeur réelle de la monnaie et dans la fiabilité du système, sans compter le temps nécessaire à tout remettre d’aplomb.
Conclusion
S’il y a une chose à retenir dans tout ce laïus, c’est qu’utiliser cesium-web pour la saisie de données confidentielles, vous expose ainsi que tous les membres, à de graves conséquences pour le développement de la monnaie libre Ğ1. Un site qui vous le demanderait serait probablement une tentative de piratage.
Cette monnaie est encore dans l’adolescence, donnons-lui, ensemble, la chance de grandir sereinement.
Notre solution pour le fonctionnement de vos comptes : « Consommez local ! », Cesium-app (application Cesium) c’est plus sain pour tous…