Une récente attaque de la chaîne d’approvisionnement NPM a provoqué une brève panique dans la communauté crypto, suscitant des craintes de vols de fonds à grande échelle. Bien que certains aient qualifié l’exploit de mineur, les experts en sécurité l’ont souligné comme un signal d’alarme pour les développeurs.
De 'Code Rouge' à 'Rien à S'inquiéter' : L'exploitation NPM a-t-elle été trop médiatisée ?
ÉCRIT PAR
PARTAGER
Un ‘Rien-de-grave’ avec un Signal d’Alerte
Les premiers rapports d’une attaque à grande échelle de la chaîne d’approvisionnement du gestionnaire de paquets Node JavaScript (NPM) ont déclenché une période brève mais intense de panique au sein de la communauté crypto. Pendant quelques heures, les alarmistes ont saisi l’avertissement, spéculant sur un vol à grande échelle des fonds des utilisateurs. À ce moment-là, le CTO de Ledger, Charles Guillemet, a conseillé aux utilisateurs de portefeuilles logiciels d’arrêter les transactions sur la chaîne et aux utilisateurs de portefeuilles matériels de vérifier minutieusement chaque transaction.
Cependant, au fil des heures, l’ampleur de l’attaque est devenue plus claire. Il a été révélé que le code malveillant était très ciblé et que le nombre d’applications affectées était limité. Des projets de premier plan comme Uniswap, Metamask, OKX Wallet et Aave ont tous publié des déclarations confirmant qu’ils n’étaient pas affectés.
Le manque de dégâts généralisés a rapidement transformé la panique initiale en débat. Certains utilisateurs de crypto soulagés ont commencé à questionner la gravité de l’avertissement initial, certains le considérant maintenant comme alarmiste et potentiellement même comme une attaque indirecte contre les portefeuilles logiciels. Cette perspective suggère que l’avertissement, bien qu’il mette en évidence une vulnérabilité réelle, a pu être surévalué pour promouvoir l’utilisation de portefeuilles matériels.
Bien que les dommages en termes de crypto volée aient conduit certains à qualifier l’exploit de “rien-de-grave”, certains experts en sécurité blockchain insistent pour que l’incident serve de signal d’alarme pour tous les développeurs de logiciels. Ces experts s’accordent à dire que l’incident valide le modèle de sécurité des portefeuilles matériels, mais ils avertissent également que les utilisateurs de ces portefeuilles pourraient toujours perdre des fonds lors d’une attaque similaire dans certaines circonstances.
Augusto Teixeira, cofondateur chez Cartesi, a illustré ce point en déclarant : “Même les utilisateurs de portefeuilles matériels pourraient être affectés par de telles attaques. Par exemple, plusieurs personnes utilisent leurs portefeuilles matériels avec l’aide de Metamask, sans vérifier les données sur l’écran de l’appareil. Cela devient plus fréquent à mesure que les transactions deviennent plus complexes et que les gens les signent à l’aveugle. La vérification est difficile.”
Selon Teixeira, les portefeuilles matériels manquent de fonctionnalités importantes comme les carnets d’adresses ou l’intégration avec les ABI JSON, ce qui permettrait aux utilisateurs de mieux comprendre ce qu’ils signent depuis l’écran de l’appareil.
Implications à l’Échelle de l’Industrie et Meilleures Pratiques
L’incident NPM a mis en question les pratiques de sécurité utilisées par les développeurs, les gestionnaires de paquets et les organisations. Certains dans l’industrie crypto croient que suivre les meilleures pratiques — telles que la revue par les pairs et ne pas permettre aux développeurs de pousser du code en production sans approbation — peut minimiser la probabilité d’une telle attaque. De plus, ils soutiennent que les développeurs devraient garder les systèmes à jour et éviter de réutiliser des mots de passe.
Shahaf Bar-Geffen, cofondateur et CEO chez COTI, croit que les gestionnaires de paquets comme NPM devraient rendre le processus de connexion plus difficile pour un attaquant potentiel. Il soutient qu’un “Cadre de Sécurité de Paquet Critique”, potentiellement supervisé par des organismes comme la Fondation OpenJS, “pourrait imposer une authentification forte (2FA, tokens API limités), des builds reproductibles, et des audits tiers annuels pour les packages dépassant des seuils élevés de téléchargement.” Bar-Geffen croit que ce modèle de vérification par paliers aiderait à encourager les meilleures pratiques tout en protégeant l’infrastructure critique.
Pour éviter de devoir compter sur une seule personne (qui pourrait avoir des intérêts personnels) pour exposer les activités malveillantes, Carlo Fragni, Architecte Solution chez Cartesi, encourage les projets à rester attentifs aux canaux utilisés par les chercheurs. Il préconise également “d’utiliser des outils d’analyse de dépendance et d’effectuer une diligence raisonnable sur chaque dépendance chaque fois qu’elle est mise à jour vers une nouvelle version.”
