news

Ledger dévoile des failles de sécurité sur les hardware wallets Trezor

Par Carole le 14/03/2019 (News)
0


EXMO affiliate program

L’entreprise française Ledger vient de dévoiler des failles présentes dans les hardware wallets de son concurrent Trezor. Certaines ont été classées comme étant critiques.

L’Attack Lab de Ledger perce à jour des failles de sécurité chez Trezor

Chez Ledger, la sécurité est au cœur de toutes les attentions. La firme possède même une équipe d’experts qui œuvre sans relâche pour mettre à jour des failles de sécurité. Et cette équipe, la Ledger Donjon, ne s’arrête pas qu’au matériel fabriqué par Ledger ! L’Attack Lab de Ledger, basé à Paris, veille à scrupuleusement décortiquer toutes les brèches des différents hardware wallets existant.

Pour la licorne française, pirater l’ensemble des appareils du marché répond à une logique : “garantir un niveau de sécurité élevé pour l’ensemble du secteur“. Lors de ces piratages, des failles sont parfois révélées. Ce fut le cas il y a quatre mois pour les hardware wallets Trezor One et Trezor T. Ledger a informé le fabricant Trezor afin que ce dernier puisse apporter des corrections. Après avoir accordé à Trezor une période de non divulgation sur ces failles de sécurité, Ledger a décidé de les dévoiler au grand public, sachant qu’une seule des cinq failles découvertes a été corrigée.

Le détail des vulnérabilités des hardware wallets de Trezor

Ledger a ainsi expliqué en détail chacune des failles des portefeuilles matériel de Trezor :

Faille 1 : Authenticité de l’appareil (toujours présente)

Selon Ledger, des pirates sont en mesure d’acheter du matériel officiel, directement depuis le site de Trezor, de retirer le sceau de sécurité pour ouvrir l’appareil et y installer une backdoor, avant de fixer à nouveau le sceau et de renvoyer les hardware wallets piratés à Trezor afin qu’ils soient revendus. Pour Ledger, ce défaut peut être corrigé via l’emploi d’une puce inviolable de type Secure Element.

Faille 2 : Protection sécurisée du code PIN (corrigée)

Les utilisateurs des wallets Trezor ont le droit à 15 tentatives pour taper leur code PIN. Avec une Side Channel Attack, Ledger a réussi à trouver le bon code PIN après seulement quelques tentatives. Cette brèche de sécurité a été corrigée par Trezor.

Failles 3 et 4 : Confidentialité des données (toujours présentes)

En possession physique d’un Trezor One ou d’un Trezor T, un hacker peut extraire toutes les données stockées dans la mémoire flash du périphérique, notamment les clefs privées. Seul le changement de puce pourrait corriger ces failles.

Faille 5 : Analyse de la stack cryptographique (toujours présente)

L’analyse du code de Trezor One a mis à jour sa vulnérabilité aux Side Channel Attacks pour extraire des clefs privées quand une loi mathématique, la multiplication par un scalaire, est utilisée. Trezor affirmait jusqu’ici qu’une protection existait contre ce type d’attaque. Cette faille pourrait être corrigée.

L’annonce publique de Ledger a bien entendu fait réagir Trezor, qui a relativisé l’importance des failles découvertes, affirmant que la plupart ne sont pas réellement exploitables.

Disclaimer : ce type d'investissements étant hautement spéculatifs, les divers contenus publiés ici ne constituent en rien une incitation à investir, ni une garantie de succès. Prudence donc. Et si vous décidez de vous lancer, ne le faites qu’avec des montants que vous pouvez vous permettre de perdre.

Suivez-nous sur les réseaux sociaux et ne ratez aucune de nos actualités !



laisser un commentaire

Vous devez vous connecter ou créer un compte pour pouvoir publier des commentaires.