La Fondation Ethereum et les principaux portefeuilles lancent la norme de « signature claire » pour mettre fin aux approbations de transactions à l'aveugle

Ces dernières années ont révélé que la principale vulnérabilité des portefeuilles crypto actuels réside dans la signature aveugle. Cette pratique consiste à approuver des chaînes hexadécimales brutes sans en connaître la signification. Cependant, mardi, la Fondation Ethereum a officiellement annoncé l'abandon progressif de cette norme au profit de la signature explicite, notamment pour certains des principaux portefeuilles et infrastructures matérielles qui exécutent Ethereum pour la plupart des utilisateurs. Parmi ces solutions figurent Ledger, Trezor, MetaMask, WalletConnect, Fireblocks et Cyfrin. Concrètement, cela signifie que les utilisateurs pourront consulter un résumé clair et lisible de ce qu'autorise une signature. 

La raison de ce phénomène est simple et se résume aux récents piratages retentissants survenus ces deux dernières années. Le piratage de Bybit, d'un montant de 1,5 milliard de dollars et qui reste à ce jour le plus important dans le secteur des cryptomonnaies, a été causé en partie par le fait que des signataires ont approuvé une transaction sans pouvoir la lire. De même, en juillet 2024, le piratage de WazirX, qui a entraîné le vol d'environ 235 millions de dollars sur le portefeuille multi-signatures de la plateforme d'échange indienne, s'est déroulé de manière quasi identique. Selon la Fondation Ethereum , la signature à l'aveugle constitue une faille structurelle de l'écosystème depuis des années et a engendré des pertes cumulées de plusieurs milliards de dollars, entre piratages, hameçonnages et exploitation des failles de sécurité liées aux approbations.

Que fait réellement la signalétique claire ?

Les autorisations et les signatures présentent actuellement une faille spécifique. Les utilisateurs interagissant avec destracintelligents peuvent consulter des données précises, mais il s'agit généralement d'une chaîne de données de bas niveau pratiquement illisible pour toute personne n'ayant pas de connaissances en développement ou en technique. 

La signature claire renverse complètement la donne. Les portefeuilles compatibles avec cette nouvelle norme afficheront un fichier descripteur qui convertit la fonction d'untracen texte lisible et en fournit un résumé à l'utilisateur avant toute signature. 

Le fondement technique repose sur deux propositions d'amélioration existantes. La norme ERC-7730, initialement proposée par Ledger en 2024, defiun format ouvert pour la description des transactions en JSON lisible par l'humain. La norme ERC-8176 ajoute ensuite une couche d'attestation, permettant à des auditeursdent de garantir cryptographiquement qu'un descripteur correspond à l'action prévue par letrac. Les descripteurs sont stockés hors chaîne dans un registre neutre sur clearsigning.org, ce qui signifie que lestracexistants peuvent adopter la norme sans nécessiter de redéploiement.

Une coalition qui agit là où vivent réellement les utilisateurs

Il ne s'agit pas d'un déploiement pour un seul portefeuille. La liste des contributeurs reflète l'ensemble de l'infrastructure utilisée par les utilisateurs Ethereum aujourd'hui : Ledger et Trezor pour le matériel, MetaMask et WalletConnect pour le logiciel, Fireblocks pour la conservation institutionnelle, Cyfrin pour les audits et Sourcify et Argot pour les outils de support. Ledger a initialement développé la signature électronique comme fonctionnalité de sécurité interne en 2021, l'a formalisée sous la norme ERC-7730 en 2024 et, plus tôt cette année, a confié sa gouvernance à la Fondation afin de garantir la neutralité de la norme et son indépendance vis-à-vis de toute entreprise.

Pourquoi ce calendrier coïncide avec les investissements institutionnels

Le timing n'est pas non plus un hasard. L'initiative de sécurité d'un billion de dollars de la Fondation, qui gère désormais le registre Clear Signing, a été créée précisément pour préparer Ethereum à la valeur institutionnelle qui réside désormais directement sur la blockchain. L'implication de Fireblocks dans ce déploiement est particulièrement significative, car il s'agit du prestataire de conservation que la plupart des institutions financières traditionnelles utilisent lorsqu'elles investissent dans les cryptomonnaies. 

La signature à l'aveugle a toujours représenté un niveau de risque acceptable pour les particuliers effectuant de petits transferts. En revanche, pour un gestionnaire d'actifs gérant des transactions importantes, cette pratique est tout simplement inenvisageable, car il est impossible d'obtenir une validation de conformité pour une transaction que l'équipe opérationnelle n'est même pas en mesure de lire.