Key Takeaways
Une vulnérabilité de haute sévérité dans Bitcoin Core, le principal logiciel client du réseau Bitcoin, pourrait permettre à des mineurs de faire planter les nœuds non mis à jour, selon une divulgation publique des développeurs le 6 mai 2026. On estime que 43 % des nœuds du réseau restent exposés au bug, qui a pourtant été corrigé il y a plus d'un an.
La vulnérabilité, identifiée sous le nom de CVE-2024-52911, était une erreur de mémoire de type « use-after-free » découverte par Cory Fields de l'Initiative de monnaie numérique du MIT, selon l'avis officiel. Fields a signalé le problème en privé le 2 novembre 2024, permettant aux développeurs de publier discrètement un correctif avant que des acteurs malveillants ne puissent l'exploiter.
Le bug affecte toutes les versions de Bitcoin Core de 0.14.0 à 28.x. Il pourrait être déclenché si un mineur disposant d'une puissance de hachage suffisante soumettait un bloc invalide spécialement conçu, provoquant le plantage des nœuds vulnérables. Étant donné qu'il s'agit d'une erreur de mémoire, la divulgation précise que l'exécution de code à distance était une possibilité, bien que peu probable. Le correctif a été inclus dans la version 29.0 de Bitcoin Core, publiée en avril 2025.
Le risque principal concerne la stabilité du réseau, car une exploitation réussie pourrait mettre hors ligne une partie importante des nœuds. L'attaque dispose d'un moyen de dissuasion intégré : son coût. Un mineur devrait dépenser des ressources de preuve de travail considérables pour miner un bloc invalide, renonçant ainsi à toute récompense de bloc. Cependant, avec environ 43 % des nœuds fonctionnant toujours sur un logiciel vulnérable, selon les données du tableau de bord de Clark Moody, cette divulgation souligne le défi permanent de la coordination des mises à jour dans un écosystème décentralisé.
La gestion de la CVE-2024-52911 constitue une étude de cas en matière de divulgation responsable. Après le signalement privé en novembre 2024, le développeur de Bitcoin Core, Pieter Wuille, a soumis un correctif discret seulement quatre jours plus tard, en le nommant délibérément de manière erronée pour éviter de signaler la vulnérabilité à d'éventuels attaquants. Le correctif a été intégré en décembre 2024 et déployé en avril 2025. Les développeurs ont attendu mai 2026 pour la divulgation publique, après que la dernière version vulnérable du logiciel, 28.x, a officiellement atteint sa fin de vie.
Dans une publication sur X, le développeur Niklas Gögge a noté qu'il s'agissait du « tout premier problème de sécurité de la mémoire » au cours des deux dernières années d'avis de sécurité publics du projet, créditant Fields pour le processus de divulgation responsable. Le bug n'a pas affecté les règles de consensus de Bitcoin ni introduit de changements on-chain.
L'incident souligne l'importance critique pour les opérateurs de nœuds de maintenir leur logiciel à jour avec la dernière version afin de garantir la sécurité et la stabilité du réseau.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
