Monero: Une faille expose l'anonymat des utilisateurs pendant 3 ans

Les développeurs principaux de Monero ont alerté la communauté. La cryptomonnaie anonyme souffrait d’une faille depuis trois ans, avec jusqu’à 6 % des transactions touchées. Au point d’abîmer la réputation dont le XMR jouit auprès de la communauté ? Pas si sûr.

Monero, l’anonymat à tout prix

Monero (XMR) est une cryptomonnaie emblématique de l’écosystème. Robustesse, fiabilité et confidentialité inviolable : voilà les ingrédients qui font du XMR une devise particulièrement populaire auprès des défenseurs de la vie privée. Depuis 2014, Monero place l’anonymat au coeur de son projet. Au point que le Monero est parfois considéré comme le vrai bitcoin.

En effet, cette blockchain open source est véritablement anonyme. Elle se distingue ainsi du bitcoin qui est simplement pseudonyme. Le protocole de Monero permet de cacher l’origine, le montant et le destinataire d’une transaction. Un véritable cauchemar pour les autorités étatiques qui redoutent de ne plus pouvoir tracer les transactions. C’est le cas de la France, qui a récemment obligé Binance à interdire à ses ressortissants l’accès à des dizaines de privacy coins, dont Monero fait partie. Une interdiction qui n’empêche pas les XMR de s’échanger en peer to peer sans passer par les exchanges.

Au sein des privacy coins, Monero fait donc figure de mastodonte. Avec une telle réputation, l’annonce d’une faille de confidentialité a de quoi faire vaciller la confiance de la communauté. Et pour cause : certains utilisateurs jouent parfois leur vie. C’est le cas dans les dictatures les plus virulentes, comme en Afghanistan où les Talibans contrôles les transactions. Malheureusement, même les protocoles cryptographiques les plus robustes ne sont pas infaillibles.

Jusqu’à 6 % des transactions concernées

Ainsi, pendant trois ans, une faille dans le système de chiffrement a menacé les données de la blockchain Monero. Plus précisément, la vulnérabilité concernait le protocole qui permet le « mixage » des adresses lors d’une transaction (aussi appelé Ring CT). Le fonctionnement de Ring CT est le suivant : lorsque vous envoyez votre paiement (input) à une adresse, votre portefeuille consulte la blockchain et sélectionne 15 autres paiements aléatoires, puis les mélange avec votre paiement. Sauf qu’un bug dans le code de sélection faisait « sauter » des transactions tous les 10 blocs. Résultat : une fraction de ces transactions pouvaient être devinées.

Si vous êtes un utilisateur de Monero, quelles sont les chances que vous ayez une transaction directement affectée par ce bug ? En pratique, le nombre total de transactions touchées par ce bug serait de 2 à 6 % au cours des dernières années. Toutefois, il semblerait que parmi ce pourcentage, seuls les XMR immédiatement retransférés vers une autre adresse soient touchés. Ainsi, si vous attendiez quelques heures (au moins 11 blocs) pour retransférer un montant depuis votre adresse, le bug restait sans conséquences. Une anomalie qui a depuis été corrigée par les développeurs de Monero.

Quel avenir pour Monero ?

Certes, ce problème de sécurité est loin de tout remettre en cause. Pour autant, la popularité de Monero provient de sa réputation intraçable. Ainsi, le moindre doute sur sa sécurité à de quoi nuire à l’image du XMR de manière durable. D’autant que cette nouvelle s’ajoute aux récentes inquiétudes au sujet de Monero Ordinals. Comme pour le bitcoin, cet ajout de métadonnées donne un plus large spectre d’attaque cyber. De quoi encore alimenter l’inquiétude.

Car même si Monero est la référence absolue en terme d’anonymat, ses utilisateurs ne peuvent accepter la moindre faille de donnée. Le récent incident de confidentialité rappelle que le XMR n’est pas infaillible. Et qu’il faudra peut-être à l’avenir un audit de sécurité complet à Monero pour espérer perdurer.