Trezor balaye le FUD réchauffé
Pendant que Ledger prend des coups à cause de son service Recover, Trezor se fait éclabousser par un FUD réchauffé.
Rien de nouveau sous le soleil
La société de cybersécurité Unciphered affirme avoir réussi une attaque physique contre le wallet Trezor fabriqué par Satoshi Labs.
Le modèle en question est le récent Trezor T, celui-là même qui intègre le coinjoin Wasabi pour anonymiser ses bitcoins.
Trezor a rapidement balayé les craintes relayées par Block. Cette vulnérabilité est en effet connue depuis 2020. Elle fut découverte par les chercheurs de Kraken Security Labs.
« Il semble s’agir d’une vulnérabilité appelée RDP downgrade attack. Comme nous l’avons indiqué sur notre blog au début de l’année 2020, ce genre d’attaque nécessite le vol physique de l’appareil, des connaissances technologiques extrêmement sophistiquées ainsi qu’un équipement pointu », a déclaré le CTO de Trezor Tomáš Sušánka.
Eric Michaud, co-fondateur de Unciphered, ne dit pas autre chose dans sa vidéo : « Même si cela paraît facile, c’est en réalité très dur et complexe » de récupérer la seed du wallet, tempère-t-il.
Contacté par Cointribune, le CEO de SatoshiLabs Pavol Rusnak a sobrement balayé le FUD :
« Depuis 2013, Trezor dispose d’une fonction passphrase qui permet d’atténuer cette attaque. »
Le CEO de Trezor Matěj Žák a lui taclé Ledger :
« Chez Trezor, nous pensons que les cold wallet ne devraient, à aucun moment, rendre la seed phrase accessible à quelqu’un d’autre que l’utilisateur. »
La plèbe approuve. Les ventes de Trezor sont en hausse de 900 % sur une semaine…
RDP downgrade attack ?
Trezor écrivait en 2020 sur son blog :
« Nous supposons que cette attaque pourrait être similaire à l’attaque d’extraction de seed précédemment rendue publique par l’équipe du Donjon Ledger […]. L’attaque RDP est une attaque qui cible la vulnérabilité matérielle des micropuces STM32 utilisées dans les wallets Trezor One et Trezor T.
Elle implique le déréglage de la tension de la puce STM32. Cette attaque permet à un attaquant disposant d’un matériel spécialisé, de connaissances pointues et d’un accès physique d’extraire le contenu de la mémoire flash du microcontrôleur. L’attaquant peut alors obtenir la seed. »
Il est important de noter que cette attaque ne peut pas réussir si la fonction « passphrase » protège le Trezor. Une passphrase solide empêche totalement cette attaque somme toute très peu probable.
Les différents types de cold wallet
Les cold wallets sont ce que l’on appelle aussi des « hardware wallets ». C’est-à-dire de petits appareils ressemblant souvent à une clé USB ou une petite calculatrice.
Il y a les cold wallets dits « air-gapped ». Ces derniers sont complètement déconnectés d’internet. Toute forme de communication sans fil est également proscrite (Bluetooth, WiFi, NFC).
La signature de la transaction se fait alors en deux temps. Le pont entre votre cold wallet et le hot wallet de votre PC se fait grâce à une micro carte SD (ou un QR code) que l’on branche dans l’un puis dans l’autre.
Ces types de wallet (ColdCard, Jade, Seed signer) prennent en charge les PSBT (Partially Signed Bitcoin Transactions). Par exemple les wallets Sparrow, Electrum ou encore Wasabi.
A contrario, les wallets Ledger et Trezor se connectent directement au PC et donc à internet. La surface d’attaque est plus grande de ce point de vue là.
Il y a ensuite les wallets qui utilisent un « secure element ». En clair, des puces électroniques très sécurisées qui empêchent l’attaque physique (Ledger, ColdCard et Bitbox). Le compromis est que nous quittons alors le domaine de l’open source.
Et puis il y a les wallets qui utilisent simplement une passphrase comme Trezor ou Jade. Si cette passphrase est assez solide, parvenir à extraire la seed du matériel ne servira à rien.
Rendez-vous sur le Spacekek Twitter pour plus d’informations délivrées par Théo Pantamis et Loïc Morel.
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Reporting on Bitcoin, "the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy".
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.