Ledger est l’un des plus gros producteurs de cold wallet au monde. Cette entreprise française possède une division de recherche en sécurité, appelée Ledger Donjon. Cette équipe, spécialisée dans l’analyse et l’amélioration des dispositifs, teste à la fois des produits Ledger, mais également des produits extérieurs. Le but général est de renforcer la protection des utilisateurs. Le donjon vient de découvrir une vulnérabilité chez Trezor, un concurrent.
Ledger découvre une vulnérabilité dans les produits Trezor
Récemment, le Donjon Ledger a eu l’occasion de passer le portefeuille Trezor Safe 3 au peigne fin. L’équipe a découvert une vulnérabilité, qui n’existe qu’en cas d’accès matériel au portefeuille. Cependant, il s’agit d’une véritable menace pour les crypto-monnaies de l’utilisateur dans le cas d’un vol du dispositif.
D’après Charles Guillemet, directeur technique (CTO) de Ledger, une fois qu’une personne malveillante a un accès matériel au Trezor Safe 3, il peut effectuer une modification du logiciel embarqué. Cette possibilité, censée être rendue impossible par l’intégration d’un Secure Element, pourrait mettre en péril les actifs numériques stockés sur le wallet.
Cependant, le fonctionnement du Trezor Safe 3 repose sur l’utilisation de deux puces : le Secure Element, associé à un microcontrôleur. De son côté, le Secure Element protège le code PIN ainsi que les données secrètes de l’utilisateur. Cette partie du matériel est censée être responsable de la sécurité des actifs en cas de vol ou d’attaque physique.
Ainsi, le donjon Ledger a remarqué que les opérations cryptos du portefeuille se déroulent sur le microcontrôleur. Cette pièce spécifique est vulnérable à certaines attaques avancées. Par exemple, si l’attaquant parvient à modifier le logiciel sur le microcontrôleur, il pourra ensuite accéder aux fonds de l’utilisateur à distance.
Dans cette éventualité, Trezor a mis en place un firmware, qui détecte si un logiciel embarqué est modifié afin de mettre en place un dispositif d’urgence. Cependant, l’équipe du Donjon de ledger a réussi à contourner cette protection, et à modifier le logiciel.
Le CTO de Ledger conclut son thread en expliquant quand Ledger souhaite aider à protéger l’ensemble de l’écosystème :
Nous pensons que rendre l’écosystème plus sûr aide tout le monde et est essentiel alors que nous progressons vers une adoption plus large des crypto-monnaies et des actifs numériques.
Il a souligné la réactivité de l’équipe de Trezor. Bien que cela ne remette pas en cause la sécurité des dispositifs commercialisés par Ledger, on peut tout de même s’interroger. Quelles sont les alternatives à Trezor ?
Quelles sont les alternatives pour le stockage de crypto-monnaies ?
Le stockage des actifs numériques peut être effectué de différentes manières. Tout d’abord, vous pouvez simplement opter pour un bout de papier, sur lequel vous noterez toutes les informations importantes. Ensuite, il suffira d’installer une interface, et d’importer vos informations, à chaque fois que vous souhaitez interagir avec votre portefeuille.
Cette méthode est quelque peu contraignante, c’est pourquoi les cold wallet sont avantageux. Bien évidemment, il y a plusieurs fournisseurs majeurs comme Ledger et Trezor dont nous avons parlé, mais également Elipal ou encore Tangem par exemple.
Une autre méthode très sécurisée consiste à utiliser un multisig. Il s’agit d’un contrat intelligent qui va stocker vos actifs numériques, dont le déblocage nécessite la validation sur plusieurs adresses. Vous pouvez par exemple décider d’utiliser deux adresses, sur deux dispositifs distincts, ou alors de donner un accès à un tiers de confiance. Le développeur de multisig le plus connu est GnosisSafe.
Enfin, il reste l’option d’utiliser un hot wallet classique. Parmi les plus fiables et les plus innovants, on retrouve Best Wallet. D’ailleurs, son jeton $BEST, central dans son utilisation, est actuellement en prévente. Le projet a déjà récolté plusieurs millions de dollars. N’oubliez pas que peu importe la solution utilisée, vous devez faire preuve de prudence dans votre utilisation.
Avertissement : les crypto-monnaies sont une classe d’actifs à haut risque. Cet article est fourni à titre d’information et ne constitue pas un conseil en investissement. Vous pourriez perdre la totalité de votre capital.
Sources : X de Charles Guillemet, Article de Ledger Donjon
Pour aller plus loin :
Partager
