CI Crypto-actifs

Description[modifier | modifier le wikicode]

L’apparition du Bitcoin en 2008 et de sa technologie sous-jacente, la blockchain, ont permis le développement d’un système décentralisé et sécurisé de paiement peer-to-peer. L’essor du bitcoin a montré le chemin pour le développement d’autres technologies de registres distribués, avec des caractéristiques plus ou moins similaires, registres publiques, privés ou à permissions, chaîne de blocs ou graph acycliques, taille de blocs, algorithmes de consensus, etc... Depuis l’apparition des contrats intelligents (Smart Contracts) stockés dans la blockchain, il est dorénavant possible de représenter des actifs autres que les transactions financières sur la blockchain. En plus des token utilitaires, basés sur le standard ERC20, majoritairement utilisés dans les application décentralisés (Dapp), la communauté et les différents projets ont développé des nouveaux standards (ERC721) afin de représenter des biens physiques ou digitaux, les NFT, ainsi que des “jetons financiers assimilables à des instruments financiers” (Security Tokens), représentant des actifs financiers. Finalement, avec la croissance de nouvelles verticales dans l’industrie de la blockchain, comme la finance décentralisée, l’industrie du gaming, les métavers, le nombre de cas d’usage ne cessera d'augmenter et nous verrons l’apparition d’un nombre croissant crypto actifs émerger dans l’avenir.

Bien que l'intérêt général se porte majoritairement sur les différents crypto-actifs, nous nous intéresserons aussi aux technologies et aux outils qui ont été mis en place pour le développement et l’amélioration de ces systèmes. Nous nous intéresserons à plusieurs concepts: blockchain public, privés, à permissions et plus globalement aux technologies de registres distribués, ainsi qu’à d’autres principes comme les structures de données comme les arbres de merkle et à l’architecture ouverte. Ainsi que les zero-knowledge proofs (zk-SNARK ou zk-STARK) utilisés pour assurer l'anonymat des transactions dans certaines blockchains ou permettant de rendre les blockchain plus scalables avec les zk rollups.

Par ailleurs, la préoccupation liée à la performance et à la scalabilité de la blockchain aboutissent à l’adoption d’autres algorithmes cryptographiques comme les signatures de schnorr, utilisées par de nombreuses crypto-monnaies et qui viennent remplacer des algorithmes jusqu’à présent plus répandus comme l’ECDSA. Ces adoptions permettent non seulement une amélioration du système mais une convergence, standardisation des bonnes pratiques dans l'industrie des crypto actifs. Il est important de diffuser ces bonnes pratiques dans toutes les industries via une approche de cryptographie open source.

De plus, le changement de paradigme où la sécurité est déportée entièrement sur l’utilisateur a obligé l’écosystème des développeurs à travailler sur des solutions telles que les portefeuilles hardware ou encore les portefeuilles à signature multiples.

Nous allons nous intéresser aussi aux différents schémas d’attaque de protocoles p2p et à leur contre mesures. Ainsi qu'à l’identification d’outils innovants pour la recherche de failles cryptographiques.

Finalement, la blockchain et les technologies de registres distribués sont fondamentalement basées sur les principes de la cryptographie afin d'apporter de la confidentialité, de l’intégrité et donc plus de sécurité au système. Nous constatons l’omniprésence des concepts de cybersécurité dans la construction et dans l’évolution des technologies qui permettent le développement des crypto-actifs. Ces innovations offrent donc un terreau propice pour aider à renforcer la sécurité des systèmes plus classiques tels que les identités numériques, la sécurisation des données d’entreprise, le respect de la vie privée et la gestion de la preuve de transaction.

Par ailleurs, les règles et les bonnes pratiques de la cybersécurité ne sont pas forcément connues ni appliquées dans ce domaine innovant et il sera indispensable de les prendre en compte dans les années à venir.

🡪 Ce groupe de travail a pour but de permettre la rencontre de ces deux points de vue et de partager des objectifs communs entre les entreprises, les institutions, les organismes de recherche menant une réflexion sur les enjeux de cybersécurité et des acteurs de l’écosystème français qui innovent dans le domaine des crypto actifs. Le but est de créer des projets innovants et de trouver les financements associés pour développer l’écosystème français sur ces sujets

Le premier point clé des travaux de ce groupe sera l’identification des cas d’usages en cybersécurité pertinents pour expérimenter de nouvelles solutions issues du monde des crypto actifs. Ces cryptos actifs sont de plus en plus référencés dans les nouvelles propositions de réglementations européennes telles que la révision de la réglementation eIDAS.

Le second point clé sera le balisage des nouveaux domaines de recherches portant sur les méthodologies de sécurité par design, l’analyse de risque et peut être l’évaluation de la sécurité de ces nouvelles techniques de crypto actifs. La gestion des vulnérabilités potentielles et des crises cyber associées devra être au cœur de notre réflexion permettant l’alliance de la liberté crypto et la sécurité des biens qui sont gérés dans ces infrastructures innovantes.

L’objectif in fine est le développement des projets innovants de cybersécurité en ayant recours aux outils de crypto actifs garantissant un fort niveau de sécurité et des projets innovants de sécurisation des crypto actifs. Cette double problématique doit être analysée par les deux points de vue : le point de vue de l’écosystème des crypto actifs et le point de vue de l’écosystème de la cybersécurité.

Objectifs initiaux[modifier | modifier le wikicode]

• Cataloguer les usages concrets des technologies développées autour de la crypto actifs pour la cybersécurité : quel sous-systèmes ? quels besoins ? quels problématiques ?
• Identifier des cas d’usage de cybersécurité utilisant des technologies de crypto actifs pour lancer des prototypes et ou des projets innovants de recherche innovants.
• Réaliser un catalogue d’attaque des crypto actifs (vol de clé, question des biais de consensus, définir des segments d’attaques potentielles).

Livrables possibles[modifier | modifier le wikicode]

• Livre blanc de synthèse présentant : les outils issus du monde de la crypto actifs pertinents pour les usages de la cybersécurité
• Les besoins de « security by design » pour les infrastructures utilisant les crypto actifs
• Les besoins pour cette R&D avec des problématiques de cybersécurité pouvant être résolues par l’usage des crypto actifs
• Une cartographie des projets pilotes triés selon leur finalité : challenge, création de communs, appels à projet.
• Note de synthèse sur les problématiques à travailler
• Catalogue d’attaques (passées, en cours, à 3 ans et à 10 ans)

Journal de bord du GT Crypto-actif[modifier | modifier le wikicode]

Le 12/10/23, le GT Crypto-actifs a travaillé sur

• Valider les configurations du plan d'audit pour la cible noeuds
• Les modalités de la conférence Paris Blockchain Society
• Mettre en place une phase d'appel à commentaires pour la cible

Il a pris les décisions de :

• Programmer une réunion technique pour le plan d'audit avec la Red Team
• Terminer l'accord de pentest
• Proposer un accord d'exploitation pour les aspects de confidentialité
• Valider l'intérêt de mettre en place une plateforme CTI dédiée au Web3

Le 31/08/23, le GT Crypto-actifs a travaillé sur

• Le plan d’audit pour la cible nœuds. L’objectif sera de proposer des contre-mesures à mettre sur le nœud pour le rendre plus robuste.

Il a pris les décisions de :

• Mettre 2 nœuds à disposition pour commencer la mission de red team en testant et les attaques et menaces sur les nœuds
• Ajouter un document crypto à la cible nœud
• Recruter des personnes pour la red team
• Commencer en parallèle la cible sur les smart contract

Il est à noter qu'un rendez-vous avec le lab de la Banque de France a été programmer pour échanger au sujet du Challenge Innovation

Le 29/06/23, le GT Crypto-actifs a travaillé sur

• La cible nœuds : CLR labs a reçu les différents commentaires de la part des derniers membres du GT pour peaufiner les quelques détails restants. Ces commentaires seront intégrés au document la semaine prochaine. Le document sera donc finalisé. La prochaine étape est d'auditer la cible Nœuds, d'attaquer le nœud avec plusieurs Red Team (ledger et exaion) pour tester la robustesse de la cible.
• Le challenge innovation :
  • L'objectif du challenge innovation sera de proposer et de développer des outils spécifiques de détection et potentiellement de blocage, des attaques cyber dans un environnement blockchain mobilisant des smart contracts.
  • Des outils de ce type existent déjà, il serait alors intéressant de donner au moment du challenge les ressources dont on a déjà connaissance.
  • Le but serait de faire le lien entre les différents outils, de faire une boîte à outils : "Amener le Web3 au sein du CERT".
  • Les prix pour les gagnants restent à déterminer.

Il a pris les décisions de :

• Finaliser la cible nœuds la semaine prochaine
• Planifier une réunion vendredi prochain pour cadrer le plan d'audit
• Donner comme nom au challenge innovation "Amener le Web3 au sein du CERT"
• D'annuler les GT de mi juillet et début août. La prochaine session aura lieu fin août

Le 08/06/23, le GT Crypto-actifs a travaillé sur

• Le document sur la cible d'évaluation Nœuds

Il a pris les décisions de :

• Finaliser le document pour la prochaine session, le 29 juin
• Réaliser un plan d'audit pour tester le produit sur des nœuds puis faire un RETEX
• Commencer la rédaction de la cible Smart Contract en tant compte de l'audit de test réalisé pour la cible Nœuds.

Le 13/04/23, le GT Crypto-actifs a travaillé sur

• Le cas d'usage du Challenge Innovation. Il ressort des discussions qu'il serait intéressant de développer une boite à outils, un dashboard sur le Web3 capable de gérer les incidents et de les analyser. Une sorte de SOC du Web3.
• Le schéma du ToE pour la cible Nœuds. Il est nécessaire de le repréciser et d'expliciter le fait que l'algo de consensus doit être contrôlé.

Il a pris les décisions de :

• Se concentrer sur la rédaction de la cible Nœuds
• Perfectionner le schéma du ToE
• La prochaine session sera dédiée à un atelier de travail sur la rédaction de la cible Nœuds.

Le 16/03/23, le GT Crypto-actifs a travaillé sur

• Les cas d’usage du Challenge Innovation
• Le périmètre des CSPN

Il a pris les décisions de :

• Soutenir le cas d’usage sur la détection des attaques dans un environnement décentralisé de type blockchain intégrant des smart contracts auprès de la Banque de France
• D’appliquer les CSPN sur un exemple d’asset (nœuds et smart contract) et d’en sortir les spécifications génériques et communes à ces asset

Il est à noter que les ateliers V2 sont programmés et auront lieu avant la fin de mois. La prochaine réunion avec la Banque de France pour valider le Challenge innovation aura lieu le 27.03.23

Le 23/02/23, le GT Crypto-actifs a travaillé sur

• La première ébauche du document sur la cible de sécurité CSPN sur les nœuds d'une blockchain
• L'étude de nouvelles propositions et cas d'usage pour le Challenge Innovation

Il a pris les décisions de :

• Refaire le travail sur la cible de sécurité avec une autre blockchain que Ethereum pour identifier d'autres menaces
• Soumettre un nouveau cas d'usage pour le Challenge Innovation à la Banque de France
• Contacter Ledger

Le 02/02/23, le GT Crypto-actifs a travaillé sur

• Le planning sur la rédaction des cibles de sécurité
• La répartition des membres du GT sur chaque atelier

Il a pris les décisions de :

• Organiser les deux ateliers relatifs aux noeuds et aux smart contract
• Contacter Ledger

Les sujets d'intégrer le BSI et Ledger ont éclos.

Il est à noter que l'équipe va travailler en trinôme sur les sujets de noeuds et smart contract.

Le 12/01/23, le GT Crypto-actifs a travaillé sur

• La méthodologie de travail CSPN
• La méthodologie de production d’un TOE dédié aux nœuds et aux smart contract

Il a pris les décisions de :

• Finaliser le document de cadrage du Challenge innovation
• Identifier des experts et des nouveaux membres
• Ré écriture du document chapeau et du planning de réalisation

Il est à noter que la cible CSPN va s’appuyer sur un master node/stacking Ethereum spécifique.

Le 01/12/22, le GT Crypto-actifs a travaillé sur

• La note de cadrage du Challenge innovation

''Il a pris les décisions de :

• Finaliser le document et aller le présenter auprès de la Banque de France
• Contacter l'inter CERT pour valider un des scénarios du challenge
• Valider les contours de la mise en place du Challenge innovation

Les autres sujets discutés :

• La diffusion du Challenge innovation

Le 10/11/22, le GT Crypto-actifs a travaillé sur

• La définition d’un sujet pour initier un Challenge innovation sur les Crypto-actifs

Il a pris les décisions de :

• Définir un cas d’usage autour d’une blockchain Campus Cyber
• Faire une réunion en amont du prochain GT pour discuter du CSPN appliqué aux crypto-actifs

Les autres sujets discutés :

• La rédaction d’une analyse de risque sur le texte du Council concernant l'e-identité qui sortira en janvier 2023.