Ce qu’il faut retenir :
- Bitcoin Core a corrigé en secret une faille mémoire critique (CVE-2024-52911) découverte en novembre 2024, divulguée publiquement mardi.
- La vulnérabilité permettait à des mineurs de faire planter des nœuds distants et potentiellement d’exécuter du code malveillant via des blocs invalides.
- Environ 43% des nœuds Bitcoin fonctionnent encore avec des versions antérieures à la v29.0 et restent vulnérables à cette faille.
Une vulnérabilité cachée pendant des mois
Bitcoin Core a révélé mardi avoir discrètement corrigé une vulnérabilité de sécurité majeure plusieurs mois avant sa divulgation publique. La faille, référencée CVE-2024-52911, représente le premier bug de sécurité mémoire jamais documenté dans l’historique public des avis de sécurité du projet.
Cette vulnérabilité affectait toutes les versions de Bitcoin Core de la 0.14.0 à la 28.x. Un mineur disposé à dépenser de vraies ressources de proof-of-work sur des blocs invalides spécialement conçus pouvait exploiter cette faille pour faire planter les nœuds des autres utilisateurs. Plus préoccupant encore, cette erreur mémoire de type use-after-free rendait possible l’exécution de code à distance, bien que Bitcoin Core estime cette issue peu probable en raison des contraintes liées aux données des blocs.
Un correctif déguisé pour éviter l’exploitation
Cory Fields du Digital Currency Initiative du MIT a découvert la vulnérabilité et l’a signalée de manière privée le 2 novembre 2024. Quatre jours plus tard, le développeur Pieter Wuille publiait un correctif déguisé, délibérément intitulé Improve parallel script validation error debug logging pour ne pas alerter d’éventuels attaquants.
Le correctif a été intégré en décembre 2024 puis déployé dans Bitcoin Core version 29.0 en avril 2025. La dernière ligne de versions vulnérables, la version 28.x, a atteint sa fin de vie le 19 avril 2026, ouvrant la voie à la divulgation publique de mardi. L’attaque présentait toutefois un frein naturel : tout mineur tentant l’exploitation devait brûler de la puissance de calcul réelle sur des blocs invalides sans aucune récompense à récupérer.
43% des nœuds encore exposés
Malgré la correction disponible depuis plus d’un an, une part significative du réseau reste vulnérable. Selon une estimation basée sur le tableau de bord de Clark Moody, environ 43% des nœuds Bitcoin fonctionnent encore avec des logiciels antérieurs à la version 29 et demeurent exposés au risque.
La vulnérabilité n’affectait pas les règles de consensus de Bitcoin, restant confinée à la gestion mémoire du logiciel de nœud sans introduire de changements dans le comportement on-chain. Le développeur Niklas Gögge a confirmé sur X qu’il s’agissait du premier problème de sécurité mémoire documenté, saluant la divulgation responsable de Fields.
Ce qu’il faut surveiller
Cette révélation intervient dans une période d’attention accrue sur la sécurité de l’infrastructure Bitcoin. En avril, des chercheurs ont proposé le BIP-361 pour éliminer progressivement les types de signatures legacy comme protection contre les risques quantiques futurs. L’adoption de la version 29.0 ou ultérieure par les opérateurs de nœuds reste cruciale pour sécuriser le réseau contre cette vulnérabilité désormais publique.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
