Bitcoin Forum
November 16, 2024, 04:31:16 PM *
News: Check out the artwork 1Dq created to commemorate this forum's 15th anniversary
 
   Home   Help Search Login Register More  
Poll
Question: Quel hardwarewallet utilisez-vous ?
Ledger - 9 (75%)
BitBox - 1 (8.3%)
Trezor - 1 (8.3%)
Coldcard - 0 (0%)
Safepal - 1 (8.3%)
Keystone - 0 (0%)
Satoship - 0 (0%)
Opendime - 0 (0%)
Jade Wallet - 0 (0%)
Prokey - 0 (0%)
Onekey - 0 (0%)
HyperMate - 0 (0%)
KeyPal - 0 (0%)
Lattice - 0 (0%)
Ngrave - 0 (0%)
Tangem - 0 (0%)
DIY wallet - 0 (0%)
Total Voters: 9

Pages: « 1 2 [3]  All
  Print  
Author Topic: Les hardwarewallets  (Read 877 times)
Jer0mFR
Jr. Member
*
Offline Offline

Activity: 40
Merit: 22


View Profile
July 08, 2024, 12:25:13 PM
Merited by F2b (1)
 #41

Trezor je n'ai pas encore testé mais d'après ce que j'ai vu il serait le plus sécurisé et le meilleur rapport/qualité prix. Et il est open source.

+1 pour Trezor qui fait très bien le boulot

Cependant selon le modèle que tu utilises, il proposera peu de cryptos aussi (à peine plus que Satoship)i, si tu es très orienté altcoins ça peut avoir de l'importance
Oui faut éviter le model one. Peu de crypto et on n'a pas d'info sur la puce.
Je pensais partir sur le safe 3 ou 5.
Il n'est pas dans le comparatif, mais on trouve le model T aussi sur le site web.

J'ai peu de altcoins, je hold que le top 20 voir top 10.
Jer0mFR
Jr. Member
*
Offline Offline

Activity: 40
Merit: 22


View Profile
August 04, 2024, 01:35:51 AM
Merited by Halab (4), Saint-loup (1), F2b (1)
 #42

Bonjour

Je viens de remarquer que Tangem n'est pas dans la liste alors que l'entreprise Suisse existe depuis 2017.

La 1ere carte génère aléatoirement la seed et on peut faire une copie sur 2 autres cartes. On a une option pour voir la seed ou ne pas la voir (changement irréversible après la création du wallet). Tangem conseil de ne pas voir la seed pour des raisons de sécurité.
La carte est garantie 25 ans et intègre une puce Samsung EAL 6+.

L'application android et ios sont opensource. (github)

En plus d'un mot de passe, on peut rajouter l'empreinte digital pour les transactions. Si on oublie le MDP, on peut le changer si on possède 2 cartes sur les 3.

Ca m'a l'air plus sécurisé que Ledger. Ledger si une personne trouve ta seed papier tu es foutu. (vol, perquisition ou autre). Tangem si une personne trouve 1 carte, il ne pourra rien faire, car il faut le mdp. Idéalement il faudrait cacher et séparer les 3 cartes.
Je n'ai pas encore testé la restauration du wallet sur un autre smartphone. Faudrait que je test pour voir si il demande bien un mdp. Pour l'empreinte digital je suppose que c'est seulement pour l'application et non lié à la carte.

Vous en pensez quoi du produit?

patrickus
Hero Member
*****
Offline Offline

Activity: 2828
Merit: 912


View Profile
August 04, 2024, 08:05:28 AM
 #43

Ellipal n'est pas dans la liste non plus.

A propos de Tangem :

- il faut avoir la carte et le téléphone pour pouvoir utiliser l'application et faire des transactions ? (pb : je n'aime pas gérer mon wallet avec le téléphone)
- Je crois que la V1 ne donnait pas l'accés à la seed ? (redhibitoire pour moi). Si j'ai bien compris la V2 permet de la voir ?
- peut on rentrer sa propre seed, par exemple celle que l'on utilise déjà avec Electrum ou Ledger ?
Jer0mFR
Jr. Member
*
Offline Offline

Activity: 40
Merit: 22


View Profile
August 04, 2024, 01:20:26 PM
Merited by Halab (4)
 #44

Ellipal n'est pas dans la liste non plus.

A propos de Tangem :

- il faut avoir la carte et le téléphone pour pouvoir utiliser l'application et faire des transactions ? (pb : je n'aime pas gérer mon wallet avec le téléphone)
- Je crois que la V1 ne donnait pas l'accés à la seed ? (redhibitoire pour moi). Si j'ai bien compris la V2 permet de la voir ?
- peut on rentrer sa propre seed, par exemple celle que l'on utilise déjà avec Electrum ou Ledger ?

Ellipal j'ai failli acheter pour tester. Mais ce n'est pas opensource. Et j'ai lu sur reddit des gens qui ont perdu de l'argent. Est ce qu'on peut faire confiance à une entreprise asiatique?
Surtout que les wallets sont bradés, on peut facilement avoir entre 10 à 50% de réduc sur les produits.

Dans le même genre mais opensource il y a Ngrave mais c'est beaucoup plus cher. C'est une entreprise Belge.

-Tangem oui faut tout faire via smarphone + carte NFC (appli iOS et Android seulement)
-Oui tangem V2 permet de voir la seed, c'est une nouveauté suite à une demande de la communauté. Tu verras la seed à la création et tu devras écrire sur un papier.
-Oui on peut importer une phrase mnémonique de 12, 18 ou 24 mots. BIP44 BIP32 ou BIP39.

Becassine (OP)
Hero Member
*****
Offline Offline

Activity: 2002
Merit: 816



View Profile WWW
August 08, 2024, 07:57:14 PM
 #45

Bon dès que j'ai un peu de temps, je rajoute ceux que j'ai oublié. Bisous

Jer0mFR
Jr. Member
*
Offline Offline

Activity: 40
Merit: 22


View Profile
August 19, 2024, 01:37:19 PM
 #46

La dernière MAJ de Tangem sur Android, l'appli est traduite a 100% en fr depuis quelques jours. C'est vraiment top pour un débutant.

J'ai contacté Trezor il y a 1 mois, avec le mail @satoshilabs.com trouvé sur leur site web et je n'ai jamais eu de réponse. Je pense relancer.
paid2
Hero Member
*****
Offline Offline

Activity: 882
Merit: 2935


Crypto Swap Exchange


View Profile WWW
August 19, 2024, 01:46:46 PM
 #47

J'ai contacté Trezor il y a 1 mois, avec le mail @satoshilabs.com trouvé sur leur site web et je n'ai jamais eu de réponse. Je pense relancer.

As-tu essayé de laisser un post sur leur forum ? https://forum.trezor.io/

Il me semble que c'est le moyen le plus rapide d'être en contact avec eux (hors commande en cours, dont le support se fait par mail).

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
Jer0mFR
Jr. Member
*
Offline Offline

Activity: 40
Merit: 22


View Profile
September 05, 2024, 09:55:20 PM
 #48

J'ai contacté Trezor il y a 1 mois, avec le mail @satoshilabs.com trouvé sur leur site web et je n'ai jamais eu de réponse. Je pense relancer.

As-tu essayé de laisser un post sur leur forum ? https://forum.trezor.io/

Il me semble que c'est le moyen le plus rapide d'être en contact avec eux (hors commande en cours, dont le support se fait par mail).

Merci, je ne connaissais pas le forum. Je vais retester par mail car je voulais communiquer en privé.
paid2
Hero Member
*****
Offline Offline

Activity: 882
Merit: 2935


Crypto Swap Exchange


View Profile WWW
September 06, 2024, 08:47:33 AM
 #49

Merci, je ne connaissais pas le forum. Je vais retester par mail car je voulais communiquer en privé.

D'ailleurs, je viens de tomber sur ça : https://forum.trezor.io/t/contacting-support-via-email-or-other-ways-without-recaptcha/10681
Quote
SatoshiLabs offer email support after you’ve made a ticket.

Il est possible qu'ils ne te répondent pas si ta demande n'est pas liée à un ticket ouvert (si je comprends bien?).

Au pire, tu peux toujours les appeler si tu parles anglais (ou tchèque !)..

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
F2b
Hero Member
*****
Offline Offline

Activity: 2136
Merit: 926


View Profile
September 19, 2024, 05:33:41 PM
Last edit: September 19, 2024, 05:45:12 PM by F2b
Merited by Halab (4)
 #50

Oui faut éviter le model one. Peu de crypto et on n'a pas d'info sur la puce.
Je pensais partir sur le safe 3 ou 5.
"peu d'info sur la puce" -> apparemment le One n'a pas de secure element. D'où le peu d'infos. Donc pour quelques euros de plus, effectivement le Safe 3 me semble plus indiqué.
"peu de cryptos" -> étonnant, dans leur comparatif ils disent "plus de 1000 cryptos suportées" pour les 3 modèles. Ou alors c'est une limite de mémoire, du style tu ne peux pas en avoir plus de X simultanément ? (Personnellement ce n'est pas un critère de choix, mais pour certaines personnes ça peut être bon à savoir.)

J'ai peu de altcoins, je hold que le top 20 voir top 10.
C'est bien ; tu verras, dans quelques années, tu n'auras plus que le top 1 Tongue

Je viens de remarquer que Tangem n'est pas dans la liste alors que l'entreprise Suisse existe depuis 2017.
[...]
Vous en pensez quoi du produit?

J'aurais tendance à éviter tout produit qui n'a pas son propre écran, car je trouve important de pouvoir vérifier ce que l'on signe sans devoir faire confiance à un périphérique externe (PC, smartphone) potentiellement compromis. (Edit : encore pire si on ne peut l'utiliser qu'avec une seule application)
Mais je conçois qu'il y a un marché pour ce type de produits abordables et déjà mieux qu'un simple hot wallet.



Ça faisait un bout de temps que j'avais mis le sujet des hardware wallets de côté, mais je m'y penche à nouveau un peu (en prenant le temps). Un jour, il faudra que je prenne le temps de faire un vrai comparatif, depuis le temps que j'y pense.

En attendant, je ne sais pas si ça a été partagé ailleurs sur le forum (j'ai beauuuucoup de retard à rattraper), mais depuis quelques mois Renaud Lifchitz a "sorti" une présentation sur la sécurité des HWW, qui est assez intéressante. Je ne sais pas si on la trouve sur internet (il était venu la faire à Lille en Avril), mais il y a quelques jours HowToBitcoin a sorti une interview reprenant tous les points essentiels. (+ les slides sont en description de la video)

Et pour ceux qui ont la flemme de tout regarder et veulent juste un résumé, j'ai pris quelques notes vite fait :
Premiers critères :
- présence d'un secure element (SE)
- présence d'un écran (sinon on fait confiance à un appareil (PC, smartphone) potentiellement compromis)

Audit Critère Commun / EAL = note sur 7 ; cartes bancaires doivent avoir la note 5+ --> on peut donc considérer que la même note peut être exigée du SE d'un HWW

- Le firmware doit être au maximum open-source, sauf le SE (car SE open-source = souvent pas assez de budget pour payer des audits)
NB. peut-on modifier facilement le firmware, ou doit-il être signé des éditeurs ? (2ème solution meilleure car moins de risque de supply chain attack)

Principaux risques sur les HWW :
- risque supply chain : composants matériels ou logiciels remplacés par des composants compromis, lors de l'expédition ou après, par ex. un HWW reflashé par un colocataire ou un HWW commandé à un faux revendeur
- backup de la seed (c'est le plus important, largement plus que le choix du HWW en lui-même)

HWW airgap : pas très important. Le plus important étant que la seed ne sorte pas du SE.

Un problème (pour +/- tous les HWW) : la seed peut sortir du SE, si le SE n'est pas capable de signer la transaction. Par ex. le SE de la plupart des HWW peuvent signer des transactions legacy directement, mais ne sont souvent pas capables de signer des tx Taproot --> la clé privée est temporairement extraite du SE et le message est signé dans le microcontrôleur (hors SE).

Edit: t'es vif @Halab Cheesy

Edit 2 : justement, dans ce contexte, j'avais entendu parler de Ngrave qui serait EAL 7... et finalement en creusant un peu c'est uniquement leur soft qui l'est, mais le secure element, bien sûr, n'est "que" EAL 5+, ce qui est déjà très bien d'ailleurs, et ça n'enlève rien au fait que c'est probablement un très bon HWW (j'ai pas creusé).

npub1zc4r69x9nxg7h0qcs705k6c5yt7xaydtjrlsthk99vmgg2t2xgssd7mdde
Saint-loup
Legendary
*
Offline Offline

Activity: 2800
Merit: 2428



View Profile
September 19, 2024, 07:49:15 PM
Last edit: September 20, 2024, 07:46:46 AM by Saint-loup
 #51

Quote
HWW airgap : pas très important. Le plus important étant que la seed ne sorte pas du SE.
C'est effectivement le plus important mais comment en être sûr? Comment le vérifier si on veut respecter le principe "Don't trust, verify"? Ledger assurait que c'était impossible sur ses appareils avant de sortir une fonctionnalité qui le faisait bel et bien...
Pour contrôler cela l'un des moyens les plus simples reste l'utilisation d'un appareil air gapped amha. Avec recopie à la main de la transaction, photographie de la tx et utilisation d'un logiciel OCR, ou plus simplement décodage du QR code pour vérifier ce qu'il contient. Il ne faut pas oublier que chaque mot d'une seed correspond à un rang dans le dictionnaire. Et que ce nombre converti en hexadécimal ou sexagésimal par exemple, ne représente que quelques caractères. Une seed a donc la capacité d'être facilement transmise si l'on est pas prudent.

██
██
██
██
██
██
██
██
██
██
██
██
██
... LIVECASINO.io    Play Live Games with up to 20% cashback!...██
██
██
██
██
██
██
██
██
██
██
██
██
Pages: « 1 2 [3]  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!