Une faille de sécurité dans Bitcoin Core révélée 1 an après son correctif : êtes-vous encore concerné ?

Une faille pouvait faire planter des nœuds Bitcoin Core via un bloc invalide

La sécurité de Bitcoin ne repose pas seulement sur son mécanisme de Proof of Work, mais également sur les logiciels qui permettent aux utilisateurs de vérifier eux-mêmes les règles du protocole.

Bitcoin Core, l'implémentation utilisée par environ 80 % des nœuds du réseau, joue donc un rôle central, même si la neutralité et la décentralisation de Bitcoin ne dépendent pas d’une seule équipe de développeurs, leur travail et discrétion sont indispensables à la protection du BTC.

💡 Pour aller plus loin – Qu'est-ce que Bitcoin Core ?

Cette semaine, Bitcoin Core a publié les détails de CVE-2024-52911, une vulnérabilité de sévérité élevée affectant les versions postérieures à Bitcoin Core 0.14.0 et antérieures à Bitcoin Core 29.0.

Extrait de la publication de Bitcoin Core

La faille concernait le moteur de validation des scripts, utilisé lorsqu’un nœud vérifie les transactions contenues dans un bloc. Dans certains cas, un bloc invalide spécialement construit pouvait provoquer un accès à une zone mémoire déjà libérée, un type de bug appelé « use-after-free ».

Concrètement, un attaquant capable de miner un bloc aurait pu exploiter cette erreur pour faire planter des nœuds, pouvant réduire temporairement la résilience du réseau et permettre une attaque du consensus.

Pour l’exploiter, un attaquant devait dépenser du hashrate réel afin de produire un bloc invalide, sans pouvoir récupérer la récompense associée. Un mineur avait donc peu d’intérêt économique à mener une telle attaque, qui aurait pu fragiliser la confiance dans Bitcoin, peser sur le prix du BTC et, indirectement, réduire ses propres revenus.

La vulnérabilité a été découverte par Cory Fields, du MIT Digital Currency Initiative, puis signalée en privé le 2 novembre 2024. Pieter Wuille a poussé un correctif discret 4 jours plus tard, intégré en décembre 2024, avant d’être inclus dans Bitcoin Core 29.0 le 12 avril 2025.

Une divulgation différée, mais pas une dissimulation

La formulation employée par certains médias, qui insistent sur une « faille corrigée silencieusement », peut donner l’impression d’un épisode anormal ou d’un manque de transparence.

En cybersécurité, cette procédure correspond pourtant à une pratique classique : corriger d’abord, laisser le temps aux utilisateurs de mettre à jour, puis publier les détails techniques lorsque le risque d’exploitation est réduit.

📰 À lire également dans l'actualité – L'Europe va-t-elle vraiment interdire les VPN ? Cette responsable déclenche un tollé

Bitcoin Core a publié les détails de cette faille après avoir laissé aux utilisateurs le temps de mettre leur nœud à jour. La divulgation intervient au moment où la version 28.x cesse d'être maintenue, seules les 2 versions les plus récentes (29.x, 30.x et 31.x) bénéficiant toujours du support des développeurs Core.

Les utilisateurs qui ne font pas tourner leur propre nœud ne sont pas directement concernés par cette mise à jour, mais ils dépendent des nœuds auxquels leur wallet se connecte. En revanche, ceux qui détiennent un nœud Bitcoin Core doivent vérifier leur version et la mettre à jour si celle-ci est antérieure à Bitcoin Core 29.

Recevez jusqu'à 500 $ en bonus en déposant des fonds sur eToro

Source : BitcoinCore

Journaliste et vulgarisateur passionné par Bitcoin, je m’attache à rendre accessible un sujet souvent complexe.
J’ai réalisé un documentaire tourné au Salvador, qui explore de manière pragmatique l’impact de Bitcoin sur le pays.
Chaque semaine, je présente l’émission « Pair à pair », un rendez-vous qui décrypte l’actualité et les enjeux du protocole Bitcoin, avec rigueur et pédagogie.
Je publie également, au quotidien, des articles et réflexions pour nourrir l'intérêt pour le BTC et encourager le débat autour de cette révolution monétaire et technologique.

Marius Off-Chain

682 articles

Tous ses articles