Scribd Logo
Importer

Bienvenue sur Scribd !

  • 02-Pano Clusif 2016 Blockchain Gbi VF

    Transféré par

    metaoui
    8 vues10 pages

    Titre original

    02-pano_clusif_2016_blockchain_gbi_vf

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    8 vues10 pages

    02-Pano Clusif 2016 Blockchain Gbi VF

    Transféré par

    metaoui

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 10

    Club de la sécurité de l’information français

    Panorama de la cybercriminalité
    année 2016
    Paris, 11 janvier 2017

    Evénement organisé avec le soutien de nos sponsors


    Club de la sécurité de l’information français

    Blockchain : Le buzzword de
    2016 qui n’a pas échappé
    aux cyber criminels
    Gérôme BILLOIS
    Wavestone

    @gbillois
    Blockchain, qu’est-ce que c’est ?
    Club de la sécurité de l’information français

    Une technologie de stockage et de traitement de données décentralisée,


    sans aucune autorité centrale de contrôle

    Distribuée Incorruptible Autonomie


    Chaque membre du réseau Une fois inscrite dans la base Aucune autorité centrale ne
    possède une copie de la base une opération ne peut pas joue le rôle de tiers de
    être modifiée confiance

    Il peut exister autant de Blockchain qu’on le souhaite !


    PANORAMA DE LA CYBERCRIMINALITE - ANNEE 2016 11/01/2017
    Blockchain a aussi montré ses
    faiblesses en 2016
    Club de la sécurité de l’information français

    Les défauts de
    L’écosystème L’attaque 51% conception et
    d’implémentation
    La blockchain, incorruptible…
    Mais pas son écosystème !
    Club de la sécurité de l’information français

    L’accès à la Blockchain Les services web


    La clé privée de l’utilisateur Les porte feuilles en-ligne
    Stockée localement Les marchés d’échange…
    Stocké dans le Cloud
    Imprimée…

    Les services externes sous-jacent


    Ordinateurs utilisés pour les transactions
    Sources de données pour les décisions smarts contracts…
    L’écosystème
    2 août 2016

    Piratage de la plateforme
    … en 3 heures
    … $70 Millions de perte
    … répartis entre les clients
    PANORAMA DE LA CYBERCRIMINALITE - ANNEE 2016 11/01/2017
    L’attaque 51%, un risque
    intrinsèque de la Blockchain
    Club de la sécurité de l’information français

    Une prise de contrôle par l’attaquant qui possède


    plus de la moitié de la puissance de calcul

    Le cas Krypton vs
    #1
    51crew

    Une faille permet de de créer des blocs alternatifs, en étant non


    1 connecté
    L’attaque 51%
    Lancement d’une attaque DDoS sur les membres de la chaine
    2 pour les neutraliser et avoir plus de 50% de la puissance de calcul.

    Validation des fausses transactions ce qui leur a permis de gagner


    3 de l’argent en détournant la crypto-monnaie du réseau « double
    spending » et de faire une demande de rançon…
    Les programmeurs une
    variable pas infaillible
    Club de la sécurité de l’information français

    L’erreur est humaine et les hackers en profitent…

    L’exemple Ethereum…

    Une blockchain permettant l’exécution


    d’application décentralisée « smart-contracts »
    ou le code est la loi « code is law »
    Les défauts de
    conception et …et de The DAO
    d’implémentation
    Un fond d’investissement
    participatif et mutualisé
    PANORAMA DE LA CYBERCRIMINALITE - ANNEE 2016 11/01/2017
    The DAO, cas majeur d’une Blockchain
    attaquée par défaut de conception
    Club de la sécurité de l’information français

    Début juin 2016


    21 mai 2016
    Une vulnérabilité spécifique est
    Plus de 150 M$ découverte dans différentes fonctions du
    levés code : « recursive call » bug

    12 juin 2016

    Courant juin 2016


    17 juin 2016 – 10h Un attaquant découvre cette vulnérabilité dans la fonction
    L’attaque est lancée contre « splitDAO » du code et travaille à l’exploiter pour drainer
    The DAO les fonds rassemblés par The DAO

    17 juin 2016 – 14h


    Bilan de l’attaque: plus Scénario 1
    de 50 M$ en Ether Fin probable de The DAO
    détournés Ne rien faire
    30 juin 2016
    Scénario 2 Éventuelle perte de confiance Fin du vote
    Hard fork vis-à-vis d’Ethereum Choix du
    Hard Fork
    Scénario 3
    Soft fork
    Blockchain une technologie controversée
    Club de la sécurité de l’information français

    Décentralisation Transparence Confiance répartie

    VS VS VS

    Performance
    Confidentialitéé Réglementation
    Ecologie

    PANORAMA DE LA CYBERCRIMINALITE - ANNEE 2016 11/01/2017


    Sources
    https://www.nextinpact.com/news/100716-
    Club de la sécurité de l’information français

    ethereum-un-hard-fork-controverse-pour-oublier-
    the-dao.htm
    http://krypton.rocks/2016/09/05/krypton-abandons-
    ethereum-based-blockchain-after-51-attack/
    http://cryptohustle.com/krypton-recovers-from-a-
    new-type-of-51-network-attack
    http://blog.zorinaq.com/bitfinex-hack-2016/
    http://hackingdistributed.com/2016/08/03/how-
    bitfinex-heist-could-have-been-avoided/
    http://blog.bitfinex.com/announcements/security-
    breach-faq/

    PANORAMA DE LA CYBERCRIMINALITE - ANNEE 2016 11/01/2017

    Vous aimerez peut-être aussi