Retex - Pentest collaboratif sur les noeuds Ethereum
Méthodologie d’audit des composants sensibles du web3
Catégorie : Blogpost Date de publication : janvier 2025 Mots clés : Blockchain
Introduction[modifier | modifier le wikicode]
Suite à ces deux premières années de collaboration, le Groupe de Travail (GT) Crypto-Actifs du studio des communs a souhaité documenter et partager ses travaux à l’ensemble de l’écosystème du Campus Cyber.
Le GT s’est investi pour développer la maturité de la cybersécurité dans un domaine qui est focalisé sur l’innovation et la recherche de débouché business.
Depuis ces débuts en octobre 2022, le GT a produit un ensemble de publications et réaliser un pentest collaboratif. Le GT a été initié par 8 contributeurs, bien que les contributeurs aient évolué dans le temps, le nombre de contributeurs est resté sensiblement le même.
Ce retour d’expérience vise à servir toutes les communautés d’intérêt qui souhaiteraient développer des communs de la cyber ayant un aspect technique.
Le document reprend les grandes étapes de production et présente les différentes ressources mobilisées ou produites.
Phase I - Compréhension et référentiel commun[modifier | modifier le wikicode]
Dès le lancement, les membres du GT ont ouvert l’accès aux travaux à des sociétés spécialisés dans les technologies du web3. Les premiers échanges ont permis de montrer l’écart entre les approches cyber et web3, d’une part nous avions une expertise basée sur la maitrise du risque et la normalisation face à une expertise basé sur l’innovation et la prise de risque.
Le GT a dû résoudre le déficit de compréhension entre ces deux domaines et parfois constater certains antagonismes culturels importants. Au fur et à mesure des délibérations, des dénominateurs communs sur certains besoins ont émergé.
Le premier projet commun sélectionné fut de recenser et analyser les attaques récentes dans le web3 pour constituer un catalogue d’attaques. Ce premier livrable a eu la vertu de qualifier les typologies d’attaque et de structurer un référentiel des composants sensibles.
Le catalogue d’attaque a été publié en mars 2023, il est disponible au téléchargement ici.
Phase II – Construire un socle méthodologique[modifier | modifier le wikicode]
Sur la base d’une meilleure compréhension de l’écosystème et de l’historique des attaques, le GT décide que les travaux de 2024 devraient prouver que les méthodologies d’audit de cybersécurité sont applicables aux composants les plus sensibles du web3.
Ainsi, le choix a fait de tester la mise en application de la méthodologie EN 17640 (connue aussi comme FiT CEM et équivalente à la CSPN en France) sur deux cibles que sont les nœuds Ethereum et les smart contracts. Le GT souhaitait renforcer les capacités d’évaluation de sécurité du web3 et fournir une première version de cible de sécurité.
Le GT a rédigé de manière collaborative la première cible de sécurité. Cette cible est mise à disposition sous forme de commun de la cyber sous licence creative commons, vous pouvez la télécharger ici.
Une deuxième de cible de sécurité sur les smart contracts est en cours de rédaction.
La rédaction des cibles a prouvé que la méthodologie était applicable sur des composants sensibles du web3.
Phase III – Valider l’approche par l’expérimentation collaborative[modifier | modifier le wikicode]
La première cible sur les nœuds Ethereum a permis de préciser le périmètre à sécuriser et les critères d’évaluation pertinents. Le GT souhaitait mener l’exercice à son terme par la réalisation d’un pentest collaboratif.
Le GT a identifié un membre du Campus Cyber qui a fourni l’infrastructure web3 à tester, composée de 4 nœuds Ethereum dont 2 validateurs. Le GT a pu se répartir les scénarios d’attaque pour couvrir l’ensemble du périmètre à évaluer. Toutes les précautions techniques et juridiques ont été mise en œuvre. Les membres ont signé un accord d’autorisation permettant la réalisation des tests de pénétration ainsi qu’en définissant le livrable attendu, les conditions de validation.
Les cinq organisations impliquées ont signé des accords de pentest bilatéral avec l’audité, spécifiques au contexte des travaux collaboratifs du GT. Le canevas du contrat de prestation de pentest est disponible ici.
Les résultats ont été consignés dans des rapports de pentest pré-formatés pour faciliter la consolidation. Dans un premier temps, chaque organisation a transmis son rapport à l’audité uniquement. L’audité a revu et validé les contenus avant de les mettre en commun pour la consolidation finale.
L’évaluation effectuée a permis de remonter un ensemble de vulnérabilités. Le GT a donc décidé de rentrer en contact avec la fondation Ethereum et de leur communiquer les conclusions du rapport avant toutes communications publiques.
Phase IV, le retour d’expériences[modifier | modifier le wikicode]
Le GT Crypto-actif a mené un projet pour l’application de la norme EN 17640 sur un domaine qui ne dispose pas de normalisation de cybersécurité. Ce projet a fait la démonstration qu’il est utile et souhaitable de mener ce type de projet de manière collaborative et de diffuser les résultats à travers les écosystèmes cyber et du domaine concerné.
Les apprentissages[modifier | modifier le wikicode]
Grâce à ce projet précurseur, les GT a fait grandir les pratiques du studio des communs et nous permet de capitaliser sur cette expérience à plusieurs niveaux :
- Animation du Groupe de travail
En complément de l’accompagnent et l’animation du GT, il est important de protéger le collectif qui expérimente pour qu’il puisse se focaliser sur la réalisation. Le projet a été facilité par la volonté d’assurer des réunions en présentiels.
Le GT est rapidement passé en production et identifier un premier livrable commun. Dans l’ensemble, le GT a focalisé ses actions pour produire des livrables en 8 à 10 mois maximum.
- Le financement
L’ensemble des productions ont été réalisés en mode pro-bono de la part des contributeurs. Ce qui aboutit à des périodes de travaux plus ou moins intensive pour le GT. Le GT est très sensible à la disponibilité et à la continuité de l’implication
- Communication
La communication a permis de valider l’intérêt des travaux et un renouvèlement des membres fondateurs.
- Licence et processus de validation
L’ensemble du cadre juridique a permis de faciliter l’engagement des membres pour obtenir les accords de chaque parti.
Les améliorations[modifier | modifier le wikicode]
Dans l’ensemble, les travaux ont fonctionné grâce à la persévérance et la volonté des membres engagé dans la démarche. Pour mener des nouveaux ce type de projet, le studio des communs devra s’assurer d’anticiper les obstacles qui ne manqueront d’apparaitre au fil du projet et qui peuvent nuire au bon rythme et à l’engagement du collectif.
Pour améliorer la démarche, il est important de faire une cartographie des parties prenantes pour solliciter les bons acteurs même s’ils ne sont initialement pas membre Campus Cyber. Cette phase sera utile pour identifier et convaincre les acteurs qui peuvent mettre à disposition les ressources à auditer ou qui dispose de compétences spécifiques. En complément, la cartographie aidera pour la communication et la diffusion des résultats auprès d’organismes de normalisation ou pour permettre aux experts auditeurs de représenter le GT auprès d’institutionnels.
Enfin, le Studio des communs doit se munir d’un budget pour faciliter l’engagement des membres du GT dans les travaux via la réalisation de prestation à tarif préférentiel.
Les atouts pour l’avenir[modifier | modifier le wikicode]
L’ensemble des travaux a permis de structurer la démarche et développer des outils qui seront mobilisables à l’avenir.
Nous disposons d’un cadre juridique éprouvé pour les échanges et pour la production de communs de la cyber. De plus, nous disposons d’un contrat type pour le mener des pentests de manière collaborative.
Nous avons structuré une démarche pour tester et appliquer une approche normative de cybersécurité sur de nouveaux domaines.
Prochaines étapes[modifier | modifier le wikicode]
Dans le cas de notre première expérimentation, un certain nombre d’actions restent à mener pour valoriser l’ensemble de travaux au niveau qu’ils méritent. En particulier pour que les membres du GT puissent être reconnus comme interlocuteurs ou référents auprès d’institutions.
En parallèle, il est important que le GT soit reconnu dans l’écosystème web3 pour soutenir le développement de la maturité de la cybersécurité.
Le Rapport d'audit sera mis à disposition sur le wiki dès la validation de la Fondation Ethereum.