Brink, une organisation à but non lucratif qui finance les développeurs de Bitcoin Core, a publié hier 26 mars son rapport d’impact technique 2025, documentant le premier audit de sécurité indépendant du client Bitcoin Core en 16 ans d’histoire, mené par la société française Quarkslab entre mai et septembre 2025.
Trois ingénieurs en sécurité Quarkslab examinés pendant quatre mois les composants les plus critiques de Bitcoin Corele logiciel le plus utilisé pour participer au réseau Bitcoin :
- La couche réseau peer-to-peer (peer-to-peer).
- Le mempool : la mémoire temporaire où sont stockées les transactions en attente de confirmation avant d’être incluses dans un bloc.
- La gestion de la blockchain et de la logique consensuelle, c’est-à-dire le code qui définit et applique les règles du Bitcoin.
Le résultat fut que Quarkslab n’a pas trouvé de vulnérabilités de gravité critique, élevée ou moyenne. Selon le rapport de Brink, ce résultat valide publiquement pour la première fois la culture de révision de code que les développeurs de Bitcoin Core ont bâtie depuis des années.
De plus, Quarkslab a développé de nouveaux outils de tests automatisés pour deux scénarios : connexion de nouveaux blocs à la chaîne et réorganisations de la chaîne. Ces outils permettent détecter un comportement inattendu dans ces processus avant qu’ils n’atteignent les nœuds exploités par les utilisateurs.
Autres avancées en matière de sécurité en 2025
Au-delà de l’audit, le rapport de Brink’s documente d’autres avancées en matière de sécurité réalisées par ses ingénieurs au cours de 2025.
L’un d’eux était le développement de Fuzzamoto, un outil de test automatique créé par l’ingénieur Niklas Gögge qui améliore la capacité de l’équipe à Trouvez les vulnérabilités avant qu’elles n’atteignent la production. Les outils de test traditionnels analysent des fonctions isolées du code, comme s’ils testaient chaque partie d’un moteur séparément.
Fuzzamoto exécute un véritable nœud Bitcoin Core et lui envoie des séquences de messages réseau aléatoires, reproduisant exactement la façon dont un véritable attaquant tenterait de trouver des failles dans le système.
Grâce à cette approche, cet outil a déjà détecté de réelles vulnérabilités qu’aucun test existant n’aurait trouvé, selon l’équipe de Brink. Parmi eux un bug dans le code de gestion du mempool qui a été identifié lors de l’examen du changement par la communauté, avant d’atteindre la production.
Les auditeurs de Quarkslab lors de l’audit ont décrit Fuzzamoto comme “probablement le moyen le plus précieux pour trouver des bogues plus profonds et plus complexes”.
De plus, l’ingénieur Eugene Siegel a découvert et corrigé de manière indépendante une vulnérabilité enregistrée publiquement sous le nom CVE-2025-54605. Le problème était que un attaquant pourrait envoyer des blocs invalides au nœud d’une victime qui générait des messages de journal système sans aucune limite de débit, remplissant le disque du nœud jusqu’à ce qu’il devienne inopérant.
Le correctif, inclus dans Bitcoin Core v30, a non seulement résolu ce cas spécifique, mais a également mis en œuvre un système qui limite la vitesse à laquelle le nœud peut générer ces messages. fermer définitivement toute cette catégorie d’attaques.
Une autre avancée était SwiftSync, un prototype développé par Sebastian Falbesoner qui réduisait le temps de synchronisation initial d’un nouveau nœud. d’environ 41 heures à environ 8 heures.
D’autre part, comme le rapporte CriptoNoticias, le 5 janvier, l’équipe Bitcoin Core a alerté sur une erreur dans les versions 30.0 et 30.1 qui Je pourrais supprimer tous les fichiers du portefeuille du nœud lorsque vous essayez de migrer un ancien portefeuille, avec le risque de perdre des fonds s’il n’y avait pas de sauvegarde. Les deux versions ont été retirées comme recommandé et le correctif est arrivé avec Bitcoin Core 30.2.
Combien de nœuds exécutent Bitcoin Core aujourd’hui ?
Selon les données de Coin Dance, le réseau Bitcoin compte actuellement 22 084 nœuds complets publics actifs. De ce total, 17 206 exécutent Bitcoin Core, 77,9% du total. Les 4 845 restants, soit 21,9 %, exécutent Bitcoin Knots, une implémentation alternative qui a considérablement augmenté en 2025 à la suite du différend sur les modifications de la limite de données OP_RETURN introduites dans Bitcoin Core v30.
La répartition actuelle des opérateurs de nœuds illustre à la fois la force et la vulnérabilité de l’écosystème des nœuds Bitcoin : une implémentation largement dominante garantit la cohérence des règles de consensus, mais se concentre également sur une seule équipe décisions de développement sur ce qui change et ce qui ne change pas dans le logiciel qui protège le réseau.
Cependant, bien qu’il y ait une prédominance de seulement 2 clients Bitcoin, le 23 mars a été annoncé le lancement de ProductionReady Inc., une organisation à but non lucratif soutenue par Samson Mow et Jimmy Song qui prévoit de développer un nouveau client Bitcoin alternatif construit sur le code Core mais avec un processus de développement plus conservateur, qui restaurerait la limite OP_RETURN à sa valeur précédente.
L’audit Quarkslab, sans être une solution à ce problème structurel, fournit pour la première fois une validation externe de l’équipe derrière Core. Après 16 ans, une équipe indépendante a examiné le code Bitcoin le plus critique et a confirmé que le processus de révision et de maintenance que ses développeurs ont construit pendant des années fonctionne. C’est un fait qui ne résout pas le débat sur la gouvernance du développement du Bitcoin, mais il établit une base vérifiable sur la qualité du travail qui le soutient.
