Au coeur des enjeux de l’écosystème Bitcoin se trouve Bitcoin Core, le logiciel open-source qui assure le fonctionnement du réseau. Dans cette optique, l’équipe de développement de Bitcoin Core s’attèle à perfectionner la gestion des bugs critiques affectant la fiabilité et la sécurité de la cryptomonnaie phare. Cette quête constante d’amélioration vise à renforcer la robustesse de Bitcoin et à garantir sa pérennité dans un environnement numérique en perpétuelle évolution.
Un protocole ossifié mais non exempt de bugs
Le Bitcoin est souvent décrit comme un protocole ossifié, ce qui signifie qu’il est délibérément peu évolutif pour éviter l’introduction de nouvelles erreurs de code. Cette rigidité n’implique cependant pas que le client Bitcoin Core soit totalement exempt de bogues. Pour renforcer la résilience de ce protocole, cinq développeurs ont proposé une approche novatrice visant à garantir la fiabilité du client.
La nouvelle politique de divulgation de la sécurité pour Bitcoin Core
Le 3 juillet, Antoine Poinsot et quatre autres développeurs ont abordé les enjeux des bogues dans le client Bitcoin Core. Ils ont souligné que le projet avait historiquement été mauvais en matière de divulgation des bugs critiques. Cela a conduit certains utilisateurs à percevoir le logiciel comme étant sans faille, une perception dangereusement erronée.
« Cela a conduit à une situation où beaucoup d’utilisateurs perçoivent Bitcoin Core comme n’ayant jamais de bug. Cette perception est dangereuse et, malheureusement, inexacte. »
Dans un message adressé à la liste de diffusion des développeurs de Bitcoin, les cinq développeurs ont proposé une nouvelle politique de divulgation des bugs. Cette politique vise à établir des attentes claires pour les chercheurs en sécurité et à encourager une divulgation responsable des vulnérabilités.
« Outre une meilleure communication sur les risques liés à l’utilisation de versions obsolètes, un suivi cohérent et un processus de divulgation normalisé définiraient des attentes claires pour les chercheurs en sécurité, les incitant à essayer de trouver des vulnérabilités et à les divulguer de manière responsable. Mettre les bugs de sécurité à la disposition d’un groupe plus large de contributeurs peut aider à prévenir les bugs futurs. »
Les détails de la nouvelle politique
En pratique, la nouvelle politique vise à attribuer des degrés de risques à chaque bug découvert et à préciser les démarches à suivre en fonction de leur sévérité. Voici les quatre degrés de risques définis :
- Bas : bogues difficiles à exploiter ou ayant un faible impact. Ces bogues seront divulgués deux semaines après leur correction.
- Moyen : bogues ayant un impact limité. Ces bogues seront divulgués deux semaines après la fin de vie de la dernière version affectée.
- Élevé : bogues ayant un impact important. Ces bogues suivent le même schéma que les bogues de gravité moyenne.
- Critique : bogues menaçant l’intégrité de l’ensemble du réseau. Ces derniers nécessitent une procédure ad hoc et ne sont pas encore pris en compte dans cette politique.
Cette politique sera progressivement adoptée dans les mois à venir et les bogues découverts jusqu’à présent seront divulgués au fil du temps. Les premières réactions au message indiquent que cette initiative est globalement bien perçue par les autres développeurs.
Implications pour les évolutions futures du Bitcoin
Cette nouvelle approche pour gérer les bogues critiques intervient à un moment où certains développeurs militent pour la restauration de certains opcodes sur Bitcoin. Ces modifications pourraient potentiellement décupler les capacités de Bitcoin mais introduire de nouveaux risques.