Pixabay
Un détournement de plusieurs millions de dollars lié à des pratiques douteuses dans la blockchain Ethereum (qui héberge la deuxième crypto-monnaie la plus importante au monde, Ether) a été identifié par des chercheurs du SnT, un centre de recherche interdisciplinaire de l’Université du Luxembourg. Des hackers professionnels utilisent la transparence des transactions effectuées sur la blockchain pour avoir un œil sur les prochaines transactions. Ceci leur permet d’acheter de la cryptomonnaie à des moments stratégiques afin de les revendre plus cher. Nous avons rencontré Christof Ferreira Torres, le doctorant qui a travaillé sur ce projet en partenariat avec la Spuerkeess.
Un cursus académique suivi entièrement au Luxembourg
Pouvez-vous vous présenter ?
Je m’appelle Christof Ferreira Torres, j’ai 30 ans. Je suis né et j'ai grandi au Luxembourg. Mes parents sont d'origine portugaise, ils ont émigré au Luxembourg dans les années 80. J’ai fait toutes mes études au Luxembourg y compris mon doctorat que je fais actuellement à l’université du Luxembourg en collaboration avec l’université de Munich.
Parlez-nous un peu plus de votre parcours académique
Je me suis orienté vers une spécialisation en informatique depuis le lycée où j’étais déjà capable d’écrire des programmes et ça m’a tellement fasciné que j’ai voulu en apprendre d’avantage sur le fonctionnement des ordinateurs. J’ai alors fait une licence en informatique avec une spécialisation dans les « systèmes distribués » puis un master en sécurité informatique. Aujourd’hui, mon doctorat combine ces deux branches de l’informatique car je travaille sur la sécurité de systèmes distribués que sont les « blockchains ».
D’où vient votre intérêt pour l’informatique ?
Quand j'étais enfant, j'étais déjà fasciné par la technologie. Je me rappelle par exemple que je m’intéressais beaucoup aux jouets électriques, à les réparer ou à construire de nouveaux jouets à partir de petites pièces provenant de jouets cassés, j’avais même réussi à construire une voiture de course. Et donc ça m’a poussé à faire des études techniques au lycée où j’ai découvert l’informatique.
Qu’est-ce qui vous a poussé à faire de la recherche ?
Ça a commencé avec mon rapport de stage de licence, j’avais un superviseur très gentil qui m’a toujours encouragé à repousser mes limites. Donc, il a tellement apprécié les travaux que j’avais faits qu’il m’a proposé de faire une présentation lors d’une conférence à Vienne. C’est cette expérience qui m’a ouvert les yeux sur la recherche et qui m’a fait réaliser qu’avec la recherche on peut avoir un grand impact qui dépasse toutes les frontières.
Au Luxembourg, si tu as la compétence et la motivation, tu peux tout faire.
Christof Torres
Que pensez-vous de l’environnement de la recherche au Luxembourg ?
Pour réussir dans la recherche, bien sûr, vous devez avoir la compétence et un certain talent mais il ne s'agit pas que de ça. Je pense qu’on a aussi besoin de personnes qui nous encouragent et de moyens financiers pour donner vie à nos projets et le Luxembourg offre toutes ces conditions. Ici, si vous avez les compétences et la motivation tout s’ouvre à vous et je trouve dommage que beaucoup de personnes au Luxembourg ne s’en rendent pas compte. Je suis content que le gouvernement ait décidé de fonder cette université parce que ça a donné la chance à tout le monde d’avoir des études de qualité.
Niveau de sécurité des blockchains
Parlons un peu plus de vos travaux de recherche
Durant mon doctorat, je m’intéresse à la sécurité des blockchains. Est ce qu’elles sont vraiment sures ? et comment peut-on les rendre plus sécurisées ? En réalité, je m’intéresse plus spécifiquement à une partie de la blockchain qu’on appelle les « contrats intelligents ».
Qu’est-ce qu’une blockchain ?
Une blockchain peut être considérée comme un registre de comptes numérique sur lequel sont inscrites des informations (transactions). Ces informations sont organisées par groupes, qu’on appelle des blocs et chaque bloc est relié à celui qui le précède d’où l’appellation « chaine en blocs » ou en anglais « blockchain ». C’est une technologie décentralisée et distribuée sur un réseau de participants. En d’autres termes, tous les participants possèdent une copie de toutes les transactions à tout moment ce qui la rend très sécurisée et impossible à pirater.
Et que sont ces contrats intelligents ?
Les contrats intelligents sont des programmes informatiques qui sont exécutés dans la blockchain. Ces programmes permettent par exemple d’exécuter une transaction financière si les conditions sur lesquelles est basé un contrat sont respectées. C’est ce qui caractérise la blockchain Ethereum 2.0 par rapport à celle du bitcoin qui elle permet uniquement des transactions financières simples.
Quels sont alors les risques liés à ces contrats intelligents ?
Ces risques résultent ironiquement des deux qualités principales d’une blockchain qui sont la transparence et l’immuabilité. Comme vous le savez, tous les programmes informatiques sont susceptibles d’avoir des bugs. Comme les programmes des contrats intelligents sont accessibles à tout le monde et ne peuvent être changés, des hackers peuvent alors exploiter les erreurs présentes dans le code informatiques pour escroquer de l’argent.
Et donc si on développe des outils qui permettent aux programmeurs de détecter les éventuels bugs avant d’introduire leurs programmes dans la blockchain, cela peut avoir un impact énorme. Ceci est une partie importante de mon travail de recherche.
Plus de 18 millions de dollars ont été détournés dans la blockchain Ethereum
Parlez-nous un peu plus de votre dernière découverte
Outre le développement d’outils de vérification des codes utilisés dans les contrats intelligents, je me suis aussi intéressé à la recherche d’autres pratiques frauduleuses sur la blockchain. C’est ce qui nous a permis de découvrir qu’il y a de plus en plus de personnes qui commettent une forme digitale de délit d’initié. En effet, la nature hautement transparente de la blockchain permet aux hackers de voir quand il y a une grosse transaction en attente. Etant donné que cette crypto-monnaie se comporte de manière similaire à un marché boursier, une transaction importante sera généralement associée à une augmentation du prix d'une action. Cette technique leur permet d’acheter des actions à des moments stratégiques et de les revendre à des prix plus élevés et cela peut être fait d’une manière totalement automatisée.
Nous sommes ainsi les premiers à montrer comment se font ces opérations qu’on appelle « front running » sur Ethereum et aussi les premiers à déterminer la valeur des sommes détournées qui sont estimées à plus de 18 millions de dollars.
Qu’est-ce que cela implique pour les banques ?
Pour le moment, ces pratiques de front-running - bien que malhonnêtes - ne sont pas encore réglementées parce que les cryptomonnaies se développent très rapidement et les régulations tardent à suivre. Mais à l’avenir, si ces pratiques deviennent illégales et que les banques décident d’offrir des services de cryptomonnaie, ils auront l’obligation de vérifier la provenance des fonds et si ça provient de sources illicites, ils doivent alors les refuser ou même les dénoncer aux autorités. Les outils qu’on a développés permettent de tracer les utilisateurs qui ont bénéficié de ces escroqueries ce qui permettra aux banques de les écarter à l’avenir.
Un dernier mot ?
Ça m’a fait plaisir de faire cette interview avec vous. Je suivais déjà science.lu et Mr Science et je suis honoré que vous m’ayez invité à cette interview aujourd’hui. Merci beaucoup !
Christof Ferreira Torres
Interview : Lilia Hassouna
Editeur : Michèle Weber (FNR)
Photo: pixabay.com