Problèmes de sécurité de Bitcoin, un risque pour les affaires

Cryptomonnaie

Exclusif

Après les incidents de Mt. Gox et Flexicoin, l’avenir de la cryptomonnaie doit-il être remise en question?

Vous le savez sans doute, j’ai un grand manque de confiance sur par rapport à Bitcoin dans l’état actuel des choses. En effet, je l’ai déjà écrit ici, je considère que le système est mal encadré, faisant en sorte qu’il est non sécuritaire pour une utilisation au quotidien. D’ailleurs, je vous suggère de lire ce long texte qui explique en long et en large le fonctionnement de Bitcoin. Plusieurs éléments soulèvent des questions.

Non seulement la valeur de la devise est instable, mais il n’y a aucun mode de protection en cas d’abus ou de défaillance du système. Se lancer dans l’aventure Bitcoin a pour effet de vous mettre à découvert par rapport à la protection de divers mécanismes offerts par plusieurs institutions de régulation. L’usager est le seul responsable de ses avoirs.

Ce que Bitcoin propose, c’est de sortir du fonctionnement du système monétaire actuel. En affirmant que la monnaie n’est qu’une affaire de confiance, les créateurs de Bitcoin soutiennent qu’une autre devise peut fonctionner et être au cœur des échanges des individus, tant et aussi longtemps que ces derniers ont confiance.

Soit.

Cependant, ce que les promoteurs de Bitcoin oublient, c’est que d’avoir un numéraire fonctionnant en dehors du système actuel en revient à remettre les risques de l’activité monétaire sur le dos des individus participant dans ledit système.

Comme il n’y a rien pour chapeauter les activités économiques, non seulement la valeur de la devise est ridiculement instable (le prix à payer pour ne pas avoir de banque centrale qui régule le tout), mais en plus, il n’y a aucun mode de protection en cas d’abus ou de défaillance du système. En d’autres mots, pas d’assurance dépôt, pas de système bancaire qui vous rembourse si vous êtes piraté, etc.

En somme, se lancer dans l’aventure Bitcoin a pour effet de vous mettre à découvert par rapport à la protection de divers mécanismes offerts par plusieurs institutions de régulation. L’usager est le seul responsable de ses avoirs.

L’affaire Mt. Gox : symptôme des problèmes du système

Si vous n’avez suivi les affres entourant l’affaire Mt. Gox, vous avez probablement manqué l’archétype de ce pour quoi les risques liés à la cryptomonnaie sont importants. Mt. Gox était une entreprise impliquée dans l’échange de Bitcoins. Troisième en taille et située au Japon, Mt. Gox a été la cible de pirates informatiques. Visant directement les cryptonuméraires entre les mains de l’entreprise, le piratage a eu pour effet de faire perdre environ 750 000 Bitcoins à Mt. Gox, soit une valeur d’environ 500 millions de dollars US – il est d’ailleurs intéressant de constater que le dollar US demeure la devise phare selon laquelle on chiffre la valeur du Bitcoin. Le tout a eu pour effet de pousser Mt. Gox à déclarer faillite, flouant ainsi des milliers de personnes ayant confié leurs Bitcoin à l’entreprise.

Quelques heures plus tard, le code ayant servi à perpétrer le piratage a été publié en ligne sur Pastebin. 1 719 lignes de code en PHP qui démontrent à quel point l’attaque était sophistiquée, visant non seulement Mt. Gox en tant que tel, mais aussi en allant chercher les portefeuilles virtuels vulnérables. Si cet incroyable vol est actuellement décortiqué par plusieurs analystes, il n’en demeure pas moins que la réalité démontre que la sécurité du cryptonuméraire est grandement fragile, ayant ainsi pour conséquence de faire payer les utilisateurs pour des problèmes systémiques.

De plus, force est d’admettre que ce cas n’est pas isolé. Dans la foulée de la disparition de Mt. Gox, Flexcoin, un site qui se décrivait lui-même comme étant une «banque de Bitcoins» s’est lui aussi fait pirater. Le pirate a réussi à prendre 896 Bitcoins et à les transférer à ces deux portefeuilles :

  • 1NDkevapt4SWYFEmquCDBSf7DLMTNVggdu
  • 1QFcC5JitGwpFKqRDd9QNH3eGN56dCNgy6

Le piratage fut suffisant pour engendrer la faillite de la compagnie, faisant perdre des milliers de dollars aux gens qui leur avaient confié leurs Bitcoins.

Auroracoin : pousser plus loin l’expérience du cryptonuméraire

Alors que le Bitcoin en prend pour son rhume, et ce, même si la valeur de la cryptomonnnaie s’est stabilisée, l’Islande se lance dans un projet de cryptonuméraire national : l’Auroracoin. Ce nouveau cryptonuméraire construit sur le protocole Litecoin – à peu de choses près le même qui est derrière le Dogecoin – a ceci de particulier : 50% des Auroracoins sont préminés et iront directement dans les mains des Islandais. C’est donc environ 31,8 Auroracoins que chaque islandais se méritera le 24 mars prochain, dans une distribution de masse s’intitulant Airdrop. Jusqu’à tout récemment, l’Auroracoin se transigeait à environ 15$ US.

L’objectif avoué du projet Auroracoin est de prendre la place de la devise nationale islandaise, le Krona. Cette dernière est prise dans une spirale impliquant la dévaluation et l’inflation. Bref, L’Auroracoin se pose en sauveur du pouvoir d’achat islandais, fortement malmené ces dernières années.

L’objectif avoué du projet Auroracoin est, à terme, de prendre la place de la devise nationale islandaise, le Krona. Cette dernière est prise dans une spirale impliquant la dévaluation et l’inflation. À cela s’ajoute le fait que le secteur bancaire de l’Islande a été particulièrement sali suite à diverses malversations et divers problèmes structurels. Bref, L’Auroracoin se pose en sauveur du pouvoir d’achat islandais, fortement malmené ces dernières années.

Si l’expérience est on ne peut plus louable, il n’en demeure pas moins qu’actuellement, le gouvernement se tient loin de la démarche, faisant en sorte que les risques demeurent. D’ailleurs, Baldur Óðinsson, l’entrepreneur derrière la démarche, n’existe pas dans les registres du gouvernement; il s’agit donc d’un sobriquet. De plus, la compagnie derrière l’Auroracoin est située au Panama, ce qui fait craindre le pire, notamment toute sorte de magouilles financières douteuses.

Est-ce que cela ira au-delà de la simple curiosité?

Au final, je considère le crytponuméraire comme une curiosité, voire une expérience intéressante. Je dispose moi-même de ces monnaies, principalement des Dogecoins, des Bitcoins et des Auroracoins – j’ai miné le tout en utilisant mon bon vieux portable. Est-ce que le cryptonuméraire sera appelé à prendre son envol? Peut-être. Considérant que le Bitcoin reprend en valeur depuis l’affaire Mt. Gox, il faut bien croire qu’il y a un avenir dans cette devise. Cependant, il devra être mieux encadré afin que les utilisateurs ne soient pas tributaires des failles du système.

Considérant que le Japon se lance dans la taxation et la régulation du Bitcoin, il y aura probablement une transformation du système pour faire en sorte que les utilisateurs ne pâtissent pas des abus et de la négligence des entreprises impliquées dans les transactions de cryptomonnaie. Bref, tant et aussi longtemps que les gouvernements ne se pencheront pas sur la situation, le tout est appelé à demeurer un grand risque pour l’utilisateur lambda. Est-ce que le jeu en vaut réellement la chandelle, sachant que les devises actuelles sont déjà relativement stables et encadrées?

  • http://stech72.tumblr.com/ Steve C

    Tant que le bitcoin ne sera pas garantis par un nombre significatif de banque internationnales et que ce modèle d’affaire ne sera pas couvert par les règles de la finances et les lois qui les entourent , le bitcoins n’a pas plus de valeurs que les fameux papiers commerciaux de 2008 ……

  • Gumby

    Fox Mulder m’a appris une chose il y a 20 ans (déjà!): «Trust no one»

  • Raphael Fortin

    Je ne croit pas en l’avenir d’une monnaie que l’utilisateur est responsable de cette dite monnaie combien de mot de passe sont encore 123456 l’utilisateur est t’il suffisamment responsable ???

    Combien de personne vont donner volontairement le fichier a un hacker qui ce fait passe pour un responsable de la compagnie Bitcoin ??

    Selon moi le principe même du Bitcoin est un problème de sécurité, n’oublier pas que le meilleur sécurité informatique passe par un humain ….

    • MrBitcoin

      Il n’existe pas de compagnie Bitcoin et donc aucun représentant. Aucun responsable.

      Bitcoin ne fonctionne pas non plus avec un mot de passe mais avec une clé privée très sécuritaire dont l’utilisateur ne peut choisir la complexité. Le probleme est de ne pas laisser un accès facile à cette clé privée. La methode la plus simple est de ne pas laisser cette clé privée sur un ordinateur connecté à Internet et de produire toute signature de transaction hors-ligne. Car aucun ordinateur n’est 100% sécuritaire. La sécurité en est grandement augmentée. (Il existe d’autres techniques permettant d’accroitre la sécurité.)

      • Raphael Fortin

        Le paradoxe du représentant étais justement du fait qu’il en as pas mais que c’est sure qu’un jour une personne vas ce faire pogner avec cette arnaque.

        Nul part je parle qu’il y as un mp dans le principe du bitcoin mais je dit que l’utilisateur ne ce force pas fort avec la sécurité je donne l’exemple du mp 123456.

        Tout ce que je dit est que le bitcoin ne peut être sécuritaire des que tu as des utilisateur qui se fout de la sécurité et ne comprenne pas les principe de base.

        • MrBitcoin

          Je vois. Je considère cela comme un avantage. Le manque de sécurité de certains utilisateurs habituellement comporte des coûts pour les autres utilisateurs. La négligence de certains utilisateurs (ou de la part des institutions elles-mêmes) cause des pertes sous forme de fraude, souvent couverte par les banques/marchands, ce qui augmente les coûts pour tout les autres utilisateurs.

          Le suivi des bases de sécurité pour Bitcoin (cold wallet avec sauvegarde de secours appropriées) limite le vol au vol physique, pour lequel il n’existe déjà pas de garanties, hormis la souscription à une assurance.

          Bitcoin est comme l’argent comptant. L’usager en est responsable, personne ne le remboursera s’il ne fait pas attention où il laisse sont argent. Si un utilisateur est négligent au niveau de la sécurité de ses informations bancaire qui sont ensuite utilisées à des fins frauduleuse, c’est souvent le marchand ou la banque qui écope et indirectement, tout le monde paye les frais, car il est difficile de prouver que l’utilisateur a été négligent quand l’utilisation de son information bancaire (carte de crédit/mot de passe, etc) REQUIERT de fournir cette information aux marchands/par Internet. Avec Bitcoin, pas besoin de donner cette information à quiconque ni de l’utiliser sur un ordinateur connecté à Internet. Avec une éducation adéquate des utilisateurs, le coût des fraudes et donc des transactions pourrait être grandement réduit.

          • Raphael Fortin

            Dure de penser que le fait d’utiliser les bitcoin vas changer le mauvaise habitude de sécurité des utilisateur quand as fait plus de 20 ans que les informaticien essai. De plus combien de personne vont penser de faire leur backup de leur fichier.

  • MrBitcoin

    La sécurité du réseau Bitcoin lui-même est incroyablement puissante. Le problème est double. De un, les ordinateurs et serveurs et tout software utilisant Bitcoin ne sont pas nécessairement sécuritaire. De deux, toute transaction est finale, il est donc difficile de récupérer des Bitcoins comme il est difficile de récupérer de l’argent comptant sans la coopération la personne qui a pris les fonds. C’est pourquoi avoir une clé privée sur un ordinateur/serveur connecter au web est un peu comme laisser son portefeuille dans un endroit publique. Le premier qui l’atteint peut voler le contenu et disparaître. Pas de remboursement.

    MtGox fut une montagne d’incompétence. Un hack des serveurs ne devrait pas causer la perte de tout les fonds. Il est possible de garder la clé privée sur une machine hors-ligne et de signer des transactions hors-ligne. Le probleme est alors l’accès physique aux clés privées. Il est possible d’avoir un système qui requiert plusieurs signatures différentes. Cela, combiner à une assurance, permettrait d’avoir un échange avec la majorités des fonds en sécurité. Cela n’est pas encore le cas, quoi que la plupart des échanges ont au moins le gros de leurs fonds hors-ligne et un minimum de comptabilité. Il semble que MtGox ait soit perdu leurs clés privées, soit ils n’avaient pas de cold wallet, soit ils ne faisaient aucune comptabilités ce qui ne leur aurait pas permis de réaliser que quelqu’un abusait d’une faille dans leur systèmes et qu’ils étaient en train d’épuiser leur cold wallet plus vite que ce qu’ils devaient à leur utilisateurs.

    Bitcoin peut être très sécuritaire si l’utilisateur fait attention. Le probleme est que l’utilisateur moyen ne s’y connaît pas nécessairement. Bitcoin évite les coûts des nombreux système de sécurités des voie traditionnelles. Le problème est que l’utilisateur devient responsable de sa propre sécurité. Un avantage, c’est qu’il est plus facile d’être sécuritaire avec Bitcoin que d’implémenter les mesures de sécurités nécessaire a une banque. Cela nécessitera cependant des outils appropriés pour l’utilisateur moyen. Il faudrait une certaine diligence de la part des échanges aussi. Tout cela peut potentiellement être fait à moindre coût que le système traditionnel.

    • Benoît Gagnon

      Je crois que nous partageons pas mal la même vision de la chose. Comme je le dis, le système remet la responsabilité sur l’usager. Or, pour la plupart, la compréhension de la sécurité de l’information n’est pas une priorité, faisant en sorte que leurs avoirs demeurent à risque.

      Effectivement Mt. Gox est la résultante d’une incompétence crasse, tant au niveau de la sécurité, qu’au niveau comptable. Par contre, c’est d’autant plus inquiétant de savoir que cette entreprise était à la fois aussi importante qu’incompétente. Bref, rien pour me rassurer suffisamment pour me pousser à demander à mon employeur de me payer en Bitcoins.

      • MrBitcoin

        Ce n’est pas vraiment un probleme pour ceux qui laisse leur BTC moins d’une heure sur un échange et les convertisses immédiatement en argent locale pour transfert vers leur compte bancaire.

        Le problème présentement, c’est que personne ne peut faire un audit des échanges et de leur système. Pas moyen de savoir si un échange est sécuritaire ou non.

  • onigetoc

    C’est probablement le système bancaire qui tente de faire tomber le bitcoin. Car il n’y trouvent plus leur compte et sont en panique. Donc cette monnaie doit rester a l’extérieur du contrôle des gouvernements et des vilains banquier.