Bitcoin Security

1. Bitcoin as Frankenstein creature ?
no coffee anymore!

2. Fonctionnement

3. Apports technologiques des blockchains
disponibilité - accessibilité
traçabilité - intégrité - non répudiation
autonomie et pérennité de fonctionnement
preuve de possession - imputabilité
anonymat - pseudonymat
évolutivité - adaptabilité - scalability
consensus décentralisé et automatisé
unicité de la dépense (anti double spending)

4. Bitcoin … c’est qui ?
- 940 commits
- Bitcoin Improvement Proposals (BIP)
- Primary author of libsecp256k1
3 Mainteneurs :
Wladimir J. van der Laan
Jonas Schnelli
Marco Falke
agreement of project contributors
Pieter Wuille

5. Hacking Bitcoin 1/3
Bitcoin : 26 CVE
2009 ====> 2018
Windows 7 : 877 CVE

6. Hacking Bitcoin 2/3
-----------------------------------------------------------------------------------
Language files blank comment code
-----------------------------------------------------------------------------------
C++ 331 14943 11592 91303
C/C++ Header 303 6457 9788 28935
Qt 17 1 0 8296
C 17 773 662 6774
... ... ... ... ...
-----------------------------------------------------------------------------------
SUM: 770 23505 22461 144946
-----------------------------------------------------------------------------------
Bitcoin code: < 120K sloc
sloc en million

7. vigilance
Hacking Bitcoin 3/3
Anti fragile = « bien attaqué »
Évolutions précises, ouvertes et discutées
Dépendances et bibliothèques surveillées
Forte réactivité = communauté impliquée
11 April 2014
OpenSSL
Heartbleed
CVE-2008-0166
Debian
OpenSSL
Predictable
PRNG

8. Sécurité des blockchains
disponibilité - accessibilité
traçabilité - intégrité - non répudiation
autonomie et pérennité de fonctionnement
preuve de possession - imputabilité
anonymat - pseudonymat
évolutivité - adaptabilité - scalability
consensus décentralisé et automatisé
Sigcrypto
crypto
crypto SHA-256
code
code opensource
internet volonté
code tests
proof of … X
engagement vérifiable
H-S fork
ECDSA
VPN TOR
SHA-256

9. Sécurité des blockchains
consensus décentralisé et automatisé Proof of Work
engagement de ressources vérifiable Proof-of-Work
Proof-of-W-S
proof-of- ?
proof-of-loveneutralité de moyen
dissuasion
carotte et baton
récompense - punition

10. Risques réelles ?
Juin 2016 : The DAO
Cause: sécurité des smart-contracts (code)
Conséquence: fork Ethereum Classic (ETC)
Débat de fond sur l’immuabilité absolue des chaines
Wallet thefts
Juillet 2017 : Parity Tech. - Multi-sign wallet = 30M$
Juillet 2017 : Veritaseum - ICO - vol = 8,4M$
Juillet 2017 : ICO CoinDash - Pirate = 8M$
Bitcoin hard forks
Aout 2017 : Bitcoin Cash
Octo 2017 : Bitcoin Gold
Nove 2017 : SegWit2x (not yet)
- rien de très grave -

11. Risques techniques des blockchains
disponibilité - accessibilité
traçabilité - intégrité - non répudiation
autonomie et pérennité de fonction.
preuve de possession - imputabilité
anonymat - pseudonymat
évolutivité - adaptabilité - scalability
consensus décentralisé et automatisé
ECDSA
très très difficile
crypto
crypto SHA-256
code
code opensource
internet volonté
Proof-of-Work
crypto
très difficile51% Etat
communauté vulnérabilité
difficile
pas facile
envisageable
ATTAQUES
DoS
wallet theft
tracing coin history
Sybil attack
energy
energy
très difficile
très difficile
Hard Fork

12. Apport des BC => Cybersécurité
disponibilité - accessibilité
traçabilité - intégrité - non répudiation
autonomie et pérennité de fonction.
preuve de possession - imputabilité
anonymat - pseudonymat
évolutivité - adaptabilité - scalability
consensus décentralisé et automatisé
certificat - signature qualifiée - eIDAS
SSCDTOR
OTP
S/KEYSSL/TLS
Hash
PBKDF2 - Scrypt / Bcrypt
faible
CertCoin
BitTorrent DHT
Peer-to-Peer
PKI - IGC
OpenSource Linux OAuth2
authentification forte
SHA-256

14. Joel Eriksson @OwariDa
Etat de l’art des attaques informatiques