Bitcoin Core signale une fuite IP limitée

Bitcoin Core a publié le 6 juin un avis de confidentialité sur Bitcoin Core 31.0 : la fonction -privatebroadcast, introduite dans cette version, peut révéler l’adresse IP de l’émetteur au pair qui reçoit la transaction dans certaines conditions réseau. Le cas est limité, mais précis. Il concerne les nœuds qui utilisent Bitcoin Core 31.0 avec -privatebroadcast, qui diffusent des transactions par l’appel RPC sendrawtransaction, qui peuvent joindre Tor en sortie, qui gardent aussi des connexions IPv4 ou IPv6 directes, et qui n’ont pas désactivé le transport BIP324 v2. Les appels de portefeuille comme sendtoaddress ne sont pas concernés selon l’avis.

La promesse de -privatebroadcast est de diffuser une transaction par Tor afin de réduire le lien observable entre une transaction et l’adresse réseau du nœud qui l’a envoyée. La fuite décrite intervient quand le pair choisi annonce le transport chiffré BIP324 v2, que la connexion initiale passe bien par Tor, puis que la négociation v2 échoue. Bitcoin Core peut alors retomber sur une connexion non chiffrée directe vers le même pair, ce qui expose l’adresse IP IPv4 ou IPv6 de l’émetteur à ce pair. Autrement dit, le problème ne casse pas Bitcoin, mais il affaiblit un mécanisme destiné à protéger la confidentialité de diffusion.

L’avis recommande plusieurs parades en attendant Bitcoin Core 31.1, où un correctif est annoncé. La plus simple consiste à ne plus utiliser -privatebroadcast tant que la version corrigée n’est pas disponible. Les utilisateurs qui veulent continuer peuvent forcer les connexions sortantes à passer uniquement par Tor avec -onlynet=onion, ou configurer un proxy global via -proxy. Une autre option consiste à désactiver BIP324 v2 avec -v2transport=0, puisque la fuite dépend de l’échec de cette négociation.

Le signal est utile parce qu’il rappelle que la confidentialité Bitcoin dépend souvent de détails de transport, pas seulement des règles de consensus ou du format des transactions. Une option de diffusion privée peut être correcte dans son intention et fragile dans ses transitions d’erreur. Pour les opérateurs de nœuds, la leçon pratique est sobre : lire les avis de sécurité, comprendre les hypothèses de réseau, et éviter de croire qu’un drapeau de configuration suffit à garantir l’anonymat dans toutes les conditions.