Intro / Problème
Il s’agit d’une question de sécurité de la Ğ1.
Voyant les instances de césium fleurir sur le net, je me mets à penser, qu’encore beaucoup de membres inscrivent les identifiants de leur compte membre sur une instance hébergée de Césium.
Je souhaite rappeler à la communauté Ğ1 qu’il en va de la sécurité toute entière de la monnaie.
Supposons qu’une personne malveillante, hébergeant une instance de Césium modifie le code pour récupérer les identifiants des personnes qui s’y sont connectées. Ce dernier pourra :
- récupérer les unités stockées et profiter des futurs DU en envoyant le tout sur des clés anonymes ;
- prendre le contrôle de l’écrire de la chaîne de blocs avec plusieurs identités, car il ne subira pas l’handicap de la rotation de la difficulté personnalisée ;
- et pire encore : certifier des nouvelles identités menant à une attaque Sybil qui est simple à mettre en place.
Solutions
Voici les solutions que je vois à mettre en place dès le plus tôt pour tous les membres et les futurs membres sans exceptions :
-
Césium : détecter si l’application est hébergée, à savoir non la verison desktop ou mobile ou local. Si c’est le cas, interdire l’authentification. Un avertissement n’est pas suffisant. Cette application hébergée est à prohiber et à déconseiller pour la manipulation d’un compte membre.
-
Utiliser une application locale : césium desktop ou mobile, Sakia, silkaj.
Extra
Sinon, pour les personnes qui se demandent si utiliser ces logiciels est sécurisé lors de l’entrée des identifiants. Le code doit être vérifié pour en avoir le cœur sûr. S’agissant de logiciels libres, tout le monde a le pouvoir d’étudier, ou de demander à un informaticien de confiance d’étudier, le bon fonctionnement du code. Le fait que le code soit accessible à tout le monde apporte une sécurité, car plusieurs yeux ont scrutés ces lignes.
Outro
Voilà pour la piqure de rappel absolument nécessaire pour un avenir serein.
C’est un pavé dans la mare à l’encontre de la facilité qu’apporte une application que tout le monde semble chérir mais qui n’assure pas la sécurité nécessaire au bon fonctionnement d’une cryptomonnaie face à une attaque.