CI Crypto-assets
Développer un point de vue de la cybersécurité sur les crypto-actifs et identifier les usages potentiels des crypto-actifs pour la cybersécurité
Catégorie : Communauté d'intérêt
Description
The emergence of Bitcoin in 2008 and its underlying technology, the blockchain, enabled the development of a decentralised and secure peer-to-peer payment system. The rise of Bitcoin paved the way for the development of other distributed ledger technologies, with more or less similar characteristics: public, private or permissioned ledgers, blockchains or acyclic graphs, block sizes, consensus algorithms, etc. With the advent of smart contracts stored on the blockchain, it is now possible to represent assets other than financial transactions on the blockchain. In addition to utility tokens, based on the ERC20 standard, which are mainly used in decentralised applications (Dapp), the community and various projects have developed new standards (ERC721) to represent physical or digital goods, NFTs, as well as "financial tokens similar to financial instruments" (Security Tokens), representing financial assets. Finally, with the growth of new verticals in the blockchain industry, such as decentralised finance, the gaming industry and metavers, the number of use cases will continue to increase and we will see a growing number of crypto assets emerge in the future.
Although the general interest is mainly in the various crypto-assets, we will also be looking at the technologies and tools that have been put in place to develop and improve these systems. We will be looking at several concepts: public blockchain, private blockchain, permission-based blockchain and, more generally, distributed ledger technologies, as well as other principles such as data structures like Merkle trees and open architecture. As well as zero-knowledge proofs (zk-SNARK or zk-STARK) used to ensure the anonymity of transactions in certain blockchains or to make blockchains more scalable with zk rollups.
In addition, concerns about the performance and scalability of the blockchain have led to the adoption of other cryptographic algorithms such as schnorr signatures, which are used by many crypto-currencies and have replaced previously more widespread algorithms such as ECDSA. These adoptions not only improve the system, but also bring about convergence and standardisation of best practice in the cryptoasset industry. It is important to spread these best practices across all industries via an open source cryptography approach.
In addition, the paradigm shift away from security being entirely the responsibility of the user has forced the developer ecosystem to work on solutions such as hardware wallets and multi-signature wallets.
We will also be looking at the different attack schemes on p2p protocols and their countermeasures. As well as identifying innovative tools for searching for cryptographic flaws.
Finally, blockchain and distributed ledger technologies are fundamentally based on the principles of cryptography in order to bring confidentiality, integrity and therefore greater security to the system. Cybersecurity concepts are omnipresent in the construction and evolution of the technologies that enable the development of crypto-assets. These innovations therefore provide fertile ground to help strengthen the security of more traditional systems such as digital identities, securing corporate data, respecting privacy and managing proof of transactions.
In addition, the rules and good practice of cyber security are not necessarily known or applied in this innovative field, and it will be essential to take them into account in the years to come.
🡪 Ce groupe de travail a pour but de permettre la rencontre de ces deux points de vue et de partager des objectifs communs entre les entreprises, les institutions, les organismes de recherche menant une réflexion sur les enjeux de cybersécurité et des acteurs de l’écosystème français qui innovent dans le domaine des crypto actifs. Le but est de créer des projets innovants et de trouver les financements associés pour développer l’écosystème français sur ces sujets
Le premier point clé des travaux de ce groupe sera l’identification des cas d’usages en cybersécurité pertinents pour expérimenter de nouvelles solutions issues du monde des crypto actifs. Ces cryptos actifs sont de plus en plus référencés dans les nouvelles propositions de réglementations européennes telles que la révision de la réglementation eIDAS.
Le second point clé sera le balisage des nouveaux domaines de recherches portant sur les méthodologies de sécurité par design, l’analyse de risque et peut être l’évaluation de la sécurité de ces nouvelles techniques de crypto actifs. La gestion des vulnérabilités potentielles et des crises cyber associées devra être au cœur de notre réflexion permettant l’alliance de la liberté crypto et la sécurité des biens qui sont gérés dans ces infrastructures innovantes.
L’objectif in fine est le développement des projets innovants de cybersécurité en ayant recours aux outils de crypto actifs garantissant un fort niveau de sécurité et des projets innovants de sécurisation des crypto actifs. Cette double problématique doit être analysée par les deux points de vue : le point de vue de l’écosystème des crypto actifs et le point de vue de l’écosystème de la cybersécurité.
Objectifs initiaux
- Cataloguer les usages concrets des technologies développées autour de la crypto actifs pour la cybersécurité : quel sous-systèmes ? quels besoins ? quels problématiques ?
- Identifier des cas d’usage de cybersécurité utilisant des technologies de crypto actifs pour lancer des prototypes et ou des projets innovants de recherche innovants.
- Réaliser un catalogue d’attaque des crypto actifs (vol de clé, question des biais de consensus, définir des segments d’attaques potentielles).
Livrables possibles
- Livre blanc de synthèse présentant : les outils issus du monde de la crypto actifs pertinents pour les usages de la cybersécurité
- Les besoins de « security by design » pour les infrastructures utilisant les crypto actifs
- Les besoins pour cette R&D avec des problématiques de cybersécurité pouvant être résolues par l’usage des crypto actifs
- Une cartographie des projets pilotes triés selon leur finalité : challenge, création de communs, appels à projet.
- Note de synthèse sur les problématiques à travailler
- Catalogue d’attaques (passées, en cours, à 3 ans et à 10 ans)
Journal de bord du GT Crypto-actif
Le 12/10/23, le GT Crypto-actifs a travaillé sur
- Valider les configurations du plan d'audit pour la cible noeuds
- Les modalités de la conférence Paris Blockchain Society
- Mettre en place une phase d'appel à commentaires pour la cible
Il a pris les décisions de :
- Programmer une réunion technique pour le plan d'audit avec la Red Team
- Terminer l'accord de pentest
- Proposer un accord d'exploitation pour les aspects de confidentialité
- Valider l'intérêt de mettre en place une plateforme CTI dédiée au Web3
Le 31/08/23, le GT Crypto-actifs a travaillé sur
- Le plan d’audit pour la cible nœuds. L’objectif sera de proposer des contre-mesures à mettre sur le nœud pour le rendre plus robuste.
Il a pris les décisions de :
- Mettre 2 nœuds à disposition pour commencer la mission de red team en testant et les attaques et menaces sur les nœuds
- Ajouter un document crypto à la cible nœud
- Recruter des personnes pour la red team
- Commencer en parallèle la cible sur les smart contract
Il est à noter qu'un rendez-vous avec le lab de la Banque de France a été programmer pour échanger au sujet du Challenge Innovation
Le 29/06/23, le GT Crypto-actifs a travaillé sur
- La cible nœuds : CLR labs a reçu les différents commentaires de la part des derniers membres du GT pour peaufiner les quelques détails restants. Ces commentaires seront intégrés au document la semaine prochaine. Le document sera donc finalisé. La prochaine étape est d'auditer la cible Nœuds, d'attaquer le nœud avec plusieurs Red Team (ledger et exaion) pour tester la robustesse de la cible.
- Le challenge innovation :
- L'objectif du challenge innovation sera de proposer et de développer des outils spécifiques de détection et potentiellement de blocage, des attaques cyber dans un environnement blockchain mobilisant des smart contracts.
- Des outils de ce type existent déjà, il serait alors intéressant de donner au moment du challenge les ressources dont on a déjà connaissance.
- Le but serait de faire le lien entre les différents outils, de faire une boîte à outils : "Amener le Web3 au sein du CERT".
- Les prix pour les gagnants restent à déterminer.
Il a pris les décisions de :
- Finaliser la cible nœuds la semaine prochaine
- Planifier une réunion vendredi prochain pour cadrer le plan d'audit
- Donner comme nom au challenge innovation "Amener le Web3 au sein du CERT"
- D'annuler les GT de mi juillet et début août. La prochaine session aura lieu fin août
Le 08/06/23, le GT Crypto-actifs a travaillé sur
- Le document sur la cible d'évaluation Nœuds
Il a pris les décisions de :
- Finaliser le document pour la prochaine session, le 29 juin
- Réaliser un plan d'audit pour tester le produit sur des nœuds puis faire un RETEX
- Commencer la rédaction de la cible Smart Contract en tant compte de l'audit de test réalisé pour la cible Nœuds.
Le 13/04/23, le GT Crypto-actifs a travaillé sur
- Le cas d'usage du Challenge Innovation. Il ressort des discussions qu'il serait intéressant de développer une boite à outils, un dashboard sur le Web3 capable de gérer les incidents et de les analyser. Une sorte de SOC du Web3.
- Le schéma du ToE pour la cible Nœuds. Il est nécessaire de le repréciser et d'expliciter le fait que l'algo de consensus doit être contrôlé.
Il a pris les décisions de :
- Se concentrer sur la rédaction de la cible Nœuds
- Perfectionner le schéma du ToE
- La prochaine session sera dédiée à un atelier de travail sur la rédaction de la cible Nœuds.
Le 16/03/23, le GT Crypto-actifs a travaillé sur
- Les cas d’usage du Challenge Innovation
- Le périmètre des CSPN
Il a pris les décisions de :
- Soutenir le cas d’usage sur la détection des attaques dans un environnement décentralisé de type blockchain intégrant des smart contracts auprès de la Banque de France
- D’appliquer les CSPN sur un exemple d’asset (nœuds et smart contract) et d’en sortir les spécifications génériques et communes à ces asset
Il est à noter que les ateliers V2 sont programmés et auront lieu avant la fin de mois. La prochaine réunion avec la Banque de France pour valider le Challenge innovation aura lieu le 27.03.23
Le 23/02/23, le GT Crypto-actifs a travaillé sur
- La première ébauche du document sur la cible de sécurité CSPN sur les nœuds d'une blockchain
- L'étude de nouvelles propositions et cas d'usage pour le Challenge Innovation
Il a pris les décisions de :
- Refaire le travail sur la cible de sécurité avec une autre blockchain que Ethereum pour identifier d'autres menaces
- Soumettre un nouveau cas d'usage pour le Challenge Innovation à la Banque de France
- Contacter Ledger
Le 02/02/23, le GT Crypto-actifs a travaillé sur
- Le planning sur la rédaction des cibles de sécurité
- La répartition des membres du GT sur chaque atelier
Il a pris les décisions de :
- Organiser les deux ateliers relatifs aux noeuds et aux smart contract
- Contacter Ledger
Les sujets d'intégrer le BSI et Ledger ont éclos.
Il est à noter que l'équipe va travailler en trinôme sur les sujets de noeuds et smart contract.
Le 12/01/23, le GT Crypto-actifs a travaillé sur
- La méthodologie de travail CSPN
- La méthodologie de production d’un TOE dédié aux nœuds et aux smart contract
Il a pris les décisions de :
- Finaliser le document de cadrage du Challenge innovation
- Identifier des experts et des nouveaux membres
- Ré écriture du document chapeau et du planning de réalisation
Il est à noter que la cible CSPN va s’appuyer sur un master node/stacking Ethereum spécifique.
Le 01/12/22, le GT Crypto-actifs a travaillé sur
- La note de cadrage du Challenge innovation
''Il a pris les décisions de :
- Finaliser le document et aller le présenter auprès de la Banque de France
- Contacter l'inter CERT pour valider un des scénarios du challenge
- Valider les contours de la mise en place du Challenge innovation
Les autres sujets discutés :
- La diffusion du Challenge innovation
Le 10/11/22, le GT Crypto-actifs a travaillé sur
- La définition d’un sujet pour initier un Challenge innovation sur les Crypto-actifs
Il a pris les décisions de :
- Définir un cas d’usage autour d’une blockchain Campus Cyber
- Faire une réunion en amont du prochain GT pour discuter du CSPN appliqué aux crypto-actifs
Les autres sujets discutés :
- La rédaction d’une analyse de risque sur le texte du Council concernant l'e-identité qui sortira en janvier 2023.
Groupes de travail
Status | Description | |
---|---|---|
Crypto - actifs : Cible d'évaluation - Smart Contracts | En cours | Cible d'évaluation de Smart contracts exécutés par l’EVM. |
Crypto-actif : Cible d'évaluation - Noeud Ethereum | Terminé | Cible d'évaluation de nœuds instanciés sur clients Ethereum |
GT Crypto-actif - Pentest noeud Ethereum | En cours | Audit des nœuds de validation Ethereum et recommandations pour leur sécurisation |
GT Crypto-actif : Catalogue d'attaques | Terminé | Référencer et suivre l'évolution des cyberattaques sur les crypto-actifs |