du 08 janvier 2019
Date

Choisir une autre édition

Ethereum Classic chute après une suspicion d'attaque par 51 %

La blockchain d'Ethereum Classic est dans la tourmente depuis quelques jours. Une coopérative de mineurs a vu sa puissance de calcul disponible augmenter soudainement pour atteindre par moments plus de la moitié de celle déployée sur l'ensemble de la blockchain.

Ainsi, ce groupe de mineurs est capable de falsifier des transactions afin de permettre une « double dépense ». En résumé, ils placent une transaction dans un bloc n, font avancer la chaîne jusqu'à n+x blocs, ce qui permet au destinataire de valider la légitimité de la transaction et de déclencher la livraison de biens par exemple.

Ensuite, les mineurs reviennent au bloc n, et fabriquent une autre chaîne parallèle où la transaction en question n'a jamais eu lieu. Une fois celle-ci plus longue que la précédente (en termes de blocs minés) c'est celle-ci qui fait foi. C'est ce qu'on appelle une double dépense, qui n'est réalisable que via une attaque par 51 %.

Coinbase, l'une des principales plateformes d'échange de cryptomonnaies, a justement repéré des doubles dépenses dans diverses réorganisations de la chaîne Ethereum Classic survenues depuis le 5 janvier, et a préventivement empêché les opérations en ETC. Selon elle l'étendue actuelle de la fraude atteint 219,500 ETC soit environ 1,1 million de dollars.

Aux yeux de la fondation Ethereum Classic, la chaîne fonctionne normalement, et il n'y aurait eu aucune double dépense. Elle justifie le bond de puissance de calcul par des tests réalisés par une entreprise chinoise sur du nouveau matériel de minage. L'entreprise citée dément cela formellement chez nos confrères de Coindesk et estime que ces rumeurs ne font que servir les auteurs de l'attaque.

Depuis le début des évènements, l'Ethereum Classic a perdu un peu plus de 10 % de sa valeur, davantage que n'importe quelle autre cryptomonnaie parmi les 20 plus valorisées.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Comme prévu, le fabricant a présenté hier un zoom optique 10x pour smartphone. Dans la lignée du zoom 5x « sans perte » présenté en 2017, il utilise trois capteurs (dont un grand-angle) et un téléobjectif « couché » couplé à un prisme pour récupérer l'image, comme le rapporte GSM Arena.

La combinaison de l'ensemble donnerait un zoom optique 10x. L'équivalent en 35 mm serait une focale de 15,9 à 159 mm. Pour rappel, le précédent zoom 5x avait été intégré dans des prototypes de smartphones, mais aucun produit commercial n'a été lancé jusqu'à présent.

Le constructeur en profite pour annoncer un capteur d'empreinte sous l'écran 15 fois plus grand que son modèle actuel. Il serait par exemple capable de lire deux empreintes à la fois.

Dans tous les cas, aucun smartphone n'est pour le moment annoncé avec l'une ou l'autre des technologies. Il faudra certainement attendre le MWC de Barcelone pour en apprendre davantage.

Copié dans le presse-papier !

Partant du constat que « parfois un essai gratuit peut à son insu devenir un abonnement récurrent difficile à annuler », la société a décidé d'agir avec la mise en place de nouvelles règles.

Tout d'abord, les commerçants devront « obtenir l'approbation du titulaire de carte à la fin de l'essai avant de commencer à le facturer ».

De plus, « les commerçants devront lui envoyer, par courrier électronique ou texto, le montant de la transaction, la date de paiement, le nom du commerçant ainsi que des instructions explicites sur la procédure à suivre pour annuler son essai ». Cette procédure doit ensuite être répétée à chaque paiement.

Ce n'est pas tout : sur chaque facture, doit apparaître l'adresse du site du commerçant ou le numéro de téléphone du magasin. Des règles de bonnes conduites dont on se demande finalement pourquoi elles n'ont pas été implémentées plus tôt.

Copié dans le presse-papier !

La découverte d'un bug dans l'une des propositions d'améliorations d'Ethereum (EIP) devant être implémentée avec la mise à jour Constantinople vient de retarder à une date ultérieure le déploiement de cette dernière.

Le bug est semblable à l'un de ceux exploités lors de la fameuse attaque de The DAO. En bref, si un contrat contient une fonction faisant appel à un autre contrat, l'attaquant peut être en mesure de faire appel plusieurs fois de suite à cette fonction pendant qu'elle est exécutée, sans préciser qu'un autre appel est déjà en cours. De quoi lui permettre de réclamer plusieurs fois de suite le versement de fonds… et les obtenir.

La fondation Ethereum a estimé qu'il n'était pas possible de colmater cette brèche proprement d'ici l'heure prévue pour le fork, soit à peu près le 17 janvier à 4h du matin heure française. La mise à jour est donc repoussée jusqu'à nouvel ordre. Les plus taquins l'ont déjà rebaptisée Constanti-Nope.

Copié dans le presse-papier !

Après une mise à jour 4.0.3 discrète il y a peu, Free vient de diffuser cette nouvelle mouture qui a cette fois droit à une note de version.

On y apprend que des correctifs ont été mis en place, notamment pour le mode bridge, le VPN ou l'agrégation xDSL/4G. Les utilisateurs rencontraient également des problèmes avec les produits Philips Hue ou Somfy, qui devraient désormais faire partie du passé.

On note surtout que le support du Wi-Fi sur des blocs de 160 MHz (relevé lors de notre analyse du Server de la Freebox Delta) est désormais fonctionnel. Il devrait donc être possible d'atteindre 1 Gb/s en Wi-Fi.

Nous avions aussi rencontré des soucis avec le RAID de HDD de 2 To, Free nous ayant confirmé qu'un problème était à régler de son côté. C'est le cas avec la version 4.0.4 nous a précisé l'équipe hier, ce que nous avons pu confirmer.

Reste que Freebox OS a encore besoin d'évoluer pour permettre de profiter au mieux du nouveau Server, des éléments d'aide étant encore tagués 3.0, quand d'autres éléments ne fonctionnent pas encore ou mal.

Les développeurs semblent cependant avancer vite, et on peut espérer que ces problèmes seront vite oubliés.

Copié dans le presse-papier !

La société de sécurité Check Point a trouvé un bon support publicitaire. Elle a découvert un problème permettant de prendre la main sur un compte Epic Games, donc Fortnite. Le jeu gratuit compterait environ 200 millions de joueurs, faisant la fortune actuelle de l'éditeur.

Pour être piégé, l'utilisateur doit cliquer sur un lien factice (envoyant vers un sous-domaine d'epicgames.com). En exploitant une faiblesse du sous-domaine, la page renvoie vers un serveur contrôlé par le pirate, avec du code vérolé. Ce code récupère le jeton d'authentification du compte Epic, qu'il envoie au pirate.

L'internaute doit bien sûr être identifié pour que le procédé fonctionne. Le jeton en question permet de lancer le client de jeu Epic. Il est généré une fois les identifiants fournis, pour maintenir l'authentification.

La faille a été rapidement comblée par Epic, qui assure n'avoir aucune preuve d'exploitation.