patrickus (OP)
|
|
May 25, 2023, 10:11:41 AM |
|
L’entreprise spécialisée en cybersécurité Unciphered vient de démontrer, vidéo à l’appui, qu’il était techniquement possible d’extraire la clé de sécurité du hardware wallet Trezor. Si l’exploit n’est pas à proprement parler accessible à tous, un vent d’inquiétude souffle dans les rangs des détenteurs de ce portefeuille crypto très populaire. https://journalducoin.com/actualites/faille-sur-le-wallet-crypto-trezor-unciphered-parvient-a-extraire-une-cle-privee/Le porte-parole de Trezor a également insisté sur le fait que l’exploitation de ladite faille nécessitait un accès physique au portefeuille et « des connaissances technologiques extrêmement sophistiquées ainsi qu’un équipement de pointe ». mouai... C'est inquiétant quand même.
|
|
|
|
Melja
|
|
May 25, 2023, 11:12:47 AM |
|
Comme Ledger et tout les HW finalement
|
|
|
|
LeGaulois
Copper Member
Legendary
Offline
Activity: 2940
Merit: 4101
Top Crypto Casino
|
|
May 25, 2023, 02:50:32 PM |
|
C'est une faille qui date de ~2013 je crois. C'est du recyclage. Dans cette période Trezor avait ajouté une passphrase
La vidéo, ils ont bruteforcé le PIN mais pas la passphrase. Et pour y arriver, il faut quand même une sacré puissance de calcul et accéder à l'appareil. D'ou la réponse "ladite faille nécessitait un accès physique au portefeuille et « des connaissances technologiques extrêmement sophistiquées ainsi qu’un équipement de pointe "
Je trouve que c'est un peu chercher à faire juste un buzz... Unciphered: entreprise pour récupérer des fonds perdus en vérifiant le code et en trouvant des vulnérabilités dans les wallets. Ce genre d'entreprises, lorsqu'elles découvrent une faille, elle préviennent en les contactant en privé, parfois pour pouvoir gagner un "bug bounty" (revenus non négligable pour certains). Rarement elles vont aller divulguer leur trouvaille sur youtube, twitter and co.
|
|
|
|
Saint-loup
Legendary
Offline
Activity: 2800
Merit: 2428
|
|
May 26, 2023, 11:56:32 AM |
|
C'est une faille qui date de ~2013 je crois. C'est du recyclage. Dans cette période Trezor avait ajouté une passphrase
La vidéo, ils ont bruteforcé le PIN mais pas la passphrase. Et pour y arriver, il faut quand même une sacré puissance de calcul et accéder à l'appareil. D'ou la réponse "ladite faille nécessitait un accès physique au portefeuille et « des connaissances technologiques extrêmement sophistiquées ainsi qu’un équipement de pointe "
Je trouve que c'est un peu chercher à faire juste un buzz... Unciphered: entreprise pour récupérer des fonds perdus en vérifiant le code et en trouvant des vulnérabilités dans les wallets. Ce genre d'entreprises, lorsqu'elles découvrent une faille, elle préviennent en les contactant en privé, parfois pour pouvoir gagner un "bug bounty" (revenus non négligable pour certains). Rarement elles vont aller divulguer leur trouvaille sur youtube, twitter and co.
Ils disent dans l'article que la faille susceptible d'avoir été exploitée date de 2020 et que Trezor n'a rien fait pour y remédier depuis(Trezor prétend qu'il suffirait d'utiliser une passphrase pour contrer cette attaque). Ce qui est inquiétant c'est qu'ils réussissent bien à extraire la seed en clair. Ce qui veut dire que quelqu'un qui subtilise le wallet(un livreur ou une femme de ménage par exemple) peut voler la seed puis remettre le wallet en place en attendant qu'il y ait plus de fonds ou de s'être fait oublier. Mais bizarre quand même de ressortir une faille apparemment déjà connue au moment même où Ledger est dans la sauce...
|
|
|
|
patrickus (OP)
|
|
May 26, 2023, 03:58:39 PM |
|
C'est une faille qui date de ~2013 je crois.
Si je l'avais su, jamais je n'aurais acheté une ledger. Ou alors il faut bien cacher cette ledger par exemple dans un coffre en banque. Sauf que je m'en sers de temps en temps.
|
|
|
|
LeGaulois
Copper Member
Legendary
Offline
Activity: 2940
Merit: 4101
Top Crypto Casino
|
|
May 26, 2023, 08:02:11 PM |
|
Autant pour moi. Effectivement, c'est un truc de 2020, impliquant le déréglage de la tension de la puce STM32 (un microcontroleur). (C'est d'ailleurs Kraken qui l'avait découverte) Moi aussi j'ai trouvé ca étrange comme timing avec Ledger, mais je ne vois pas trop qu'est ce qui pourrait se cacher derrière. En attendant, Trezor accroît ses ventes de 900 % grâce à la crise de Ledger
Tu veux dire plutôt Trezor, non? Après, peu importe le wallet, on a tous au moins 1 wallet bien caché qu'on utilise rarement ou jamais et 1 wallet avec une certaine somme que l'on se sert pour faire ses achats, son trading, ou autre...
|
|
|
|
patrickus (OP)
|
|
May 28, 2023, 09:38:36 AM Last edit: May 31, 2023, 09:40:02 AM by patrickus |
|
L'annonce de la fonctionalité Recover a fait craindre qu'il y ait une porte dérobée chez Ledger et beaucoup ont préféré depuis acheter un hard-wallet chez Trezor. Et donc cet article tombe à pic pour dissuader de se tourner vers Trezor.
|
|
|
|
LeGaulois
Copper Member
Legendary
Offline
Activity: 2940
Merit: 4101
Top Crypto Casino
|
Assez intelligent si c'est le cas, mais très vicieux comme pratique... Ca me fait penser aux wallets Samourai VS Wasabi Après, tu vas me dire: lorsqu'il s'agit de business, tous les coups sont permis... Je suis tombé sur cette actualité au sujet de Trezor ( ca date de ~3 semaines) Kaspersky a trouvé des contrefacons de wallets qui étaient en vente sur un (ou des) marketplace. On peut voir à droite que le microcontroleur a été démonté puis remplacé par un autre. Alors quand vérité, rien de nouveau sous le soleil. Ces contrefacons sont connues depuis l'année dernière...
|
|
|
|
Saint-loup
Legendary
Offline
Activity: 2800
Merit: 2428
|
|
June 01, 2023, 07:08:56 PM |
|
C'est une faille qui date de ~2013 je crois.
Si je l'avais su, jamais je n'aurais acheté une ledger. Ou alors il faut bien cacher cette ledger par exemple dans un coffre en banque. Sauf que je m'en sers de temps en temps. Le problème comme tu l'avais déjà souligné dans un autre thread, c'est le manque de solutions alternatives. Si on veut holder des altcoins, c'est quasiment impossible de trouver des soft wallets surs que l'on peut utiliser en mode cold wallet. Pour Bitcoin, en revanche, si on garde d'importantes sommes c'est mieux d'utiliser un soft wallet si on veut dormir sur ses 2 oreilles je pense. Une vieille tablette ou un vieux laptop air gapped peuvent parfaitement faire l'affaire.
|
|
|
|
paid2
|
Le problème comme tu l'avais déjà souligné dans un autre thread, c'est le manque de solutions alternatives. Si on veut holder des altcoins, c'est quasiment impossible de trouver des soft wallets surs que l'on peut utiliser en mode cold wallet.
Pour le cas que tu décris, si tu veux holder des altcoins de manière safe, est-ce qu'on pourrait pas imaginer une tablette air-gapped avec Alpha Wallet ou n'omporte quel autre wallet multi-cryptos open source ? Alpha Wallet is a free and open-source cryptocurrency wallet that allows the self-custodial of digital assets. The wallet is available for Android and iOS devices, as well as for web and desktop. This mobile wallet uses Secure Enclave to provide users with cold wallet-grade security.
It supports ERC20, ERC721, ERC1155, and ERC875 natively. This multichain Ethereum wallet can store all popular Ethereum-based networks, including Polygon, Binance Smart Chain (BSC), xDai, Fantom Opera, Avalanche, Optimistic, Arbitrum One, Heco, ARTIS sigma1, and more. This wallet further supports NFTs and allows users to interact with DeFi. Et sinon pourquoi pas un Trezor DIY avec un raspeberry pi 0 ? https://www.pitrezor.com/2018/02/pitrezor-homemade-trezor-bitcoin-wallet.html
|
|
|
|
Becassine
|
|
June 15, 2023, 10:44:27 AM |
|
Si je l'avais su, jamais je n'aurais acheté une ledger. Ou alors il faut bien cacher cette ledger par exemple dans un coffre en banque. Sauf que je m'en sers de temps en temps.
Pourquoi tu n'aurais jamais acheté de Ledger ? Tu peux préciser ? Quel est le rapport avec une bonne cachette ? Car c'est surtout les clés privées qu'il faut bien cacher au final, le code pin de la ledger est suffisamment long pour être sécurisé, non ? Toujours est-il que je n'aime pas du tout l'interface de Ledger. Perso je préfère la Bitbox. Le problème comme tu l'avais déjà souligné dans un autre thread, c'est le manque de solutions alternatives. Si on veut holder des altcoins, c'est quasiment impossible de trouver des soft wallets surs que l'on peut utiliser en mode cold wallet.
Pour le cas que tu décris, si tu veux holder des altcoins de manière safe, est-ce qu'on pourrait pas imaginer une tablette air-gapped avec Alpha Wallet ou n'omporte quel autre wallet multi-cryptos open source ? Alpha Wallet is a free and open-source cryptocurrency wallet that allows the self-custodial of digital assets. The wallet is available for Android and iOS devices, as well as for web and desktop. This mobile wallet uses Secure Enclave to provide users with cold wallet-grade security.
It supports ERC20, ERC721, ERC1155, and ERC875 natively. This multichain Ethereum wallet can store all popular Ethereum-based networks, including Polygon, Binance Smart Chain (BSC), xDai, Fantom Opera, Avalanche, Optimistic, Arbitrum One, Heco, ARTIS sigma1, and more. This wallet further supports NFTs and allows users to interact with DeFi. Et sinon pourquoi pas un Trezor DIY avec un raspeberry pi 0 ? https://www.pitrezor.com/2018/02/pitrezor-homemade-trezor-bitcoin-wallet.htmlTout simplement parce que ce n'est pas si facile ... Il faut tout de même quelques connaissances techniques de base... J'avais vu la vidéo de Joe Grand ( https://www.youtube.com/watch?v=dT9y-KQbqi4), qui avait cracké un Trezor, la société avait évidemment publié un communiqué pour dire que ce n'était plus possible. Néanmoins avec les multiples hacks (dont bien sûr récemment Atomic wallet), ça ne risque pas d'inciter les gens à s'intéresser au bitcoin, les gens sont trop habitués aux assurances bancaires quand ils se font pirater leur CB, alors sécuriser des btc ...
|
|
|
|
Saint-loup
Legendary
Offline
Activity: 2800
Merit: 2428
|
|
June 15, 2023, 02:19:58 PM |
|
Pourquoi tu n'aurais jamais acheté de Ledger ? Tu peux préciser ? Quel est le rapport avec une bonne cachette ? Car c'est surtout les clés privées qu'il faut bien cacher au final, le code pin de la ledger est suffisamment long pour être sécurisé, non ? Toujours est-il que je n'aime pas du tout l'interface de Ledger. Perso je préfère la Bitbox.
Sans doute parce que Ledger a longtemps fait croire que la seed était totalement isolée et inextricable meme en flashant le firmware, avant de finalement faire machine arrière pris la main dans le sac, au détour de l'ajout d'une fonctionnalité. Or si ils y arrivent ça veut dire que ce n'est pas impossible et que quelqu'un subtilisant une Ledger peut peut-être y arriver avec la complicité de quelqu'un travaillant chez eux par exemple.
|
|
|
|
Becassine
|
|
June 16, 2023, 11:35:45 AM |
|
Pourquoi tu n'aurais jamais acheté de Ledger ? Tu peux préciser ? Quel est le rapport avec une bonne cachette ? Car c'est surtout les clés privées qu'il faut bien cacher au final, le code pin de la ledger est suffisamment long pour être sécurisé, non ? Toujours est-il que je n'aime pas du tout l'interface de Ledger. Perso je préfère la Bitbox.
Sans doute parce que Ledger a longtemps fait croire que la seed était totalement isolée et inextricable meme en flashant le firmware, avant de finalement faire machine arrière pris la main dans le sac, au détour de l'ajout d'une fonctionnalité. Or si ils y arrivent ça veut dire que ce n'est pas impossible et que quelqu'un subtilisant une Ledger peut peut-être y arriver avec la complicité de quelqu'un travaillant chez eux par exemple. Ah ouais je n'avais pas pensé à ça. En matière de comm (et de SAV) ils sont nuls. Ce serait pas mal que des experts se penchent sur le problème de potentiel hack de la Ledger (à moins que ce ne soit déjà fait ?), un peu comme pour le Trezor afin de voir si c'est possible de récupérer la seed quand on a les compétences et le matériel. Après le hack de Atomic wallet, on finit par se demander quelle est la meilleure manière de générer des clés privées pour être safe à 100 % ? On en parle ici d'Atomic wallet ?
|
|
|
|
RoyalMoney
Copper Member
Member
Offline
Activity: 62
Merit: 16
Crypto Ferengi
|
|
July 13, 2023, 08:45:17 PM Merited by Halab (4), F2b (1) |
|
Salut à tous, Je me suis pris une bitbox02 pour compléter mon trezor 1 et ledger nano X. Assez sympa, le système tactile pour les mots de passe est un peu perturbant au début mais on s' y fait.. Je trouve le system de backup sur microSD à la fois génial et effrayant
|
|
|
|
paid2
|
|
July 13, 2023, 09:35:55 PM |
|
Salut à tous, Je me suis pris une bitbox02 pour compléter mon trezor 1 et ledger nano X. Assez sympa, le système tactile pour les mots de passe est un peu perturbant au début mais on s' y fait.. Je trouve le system de backup sur microSD à la fois génial et effrayant Pourquoi la microSD est effrayante ? Je suis de plus en plus tenté par une bitbox btc-only, mais c'est le prix + le tactile qui m'effraient un peu J'utilise Electrum, et un vieux Ledger Nano S (donc pas concerné par les mises à jour qui puent pour la seed), et je cherche à remplacer le Ledger pour une solution full open source. Je pense partir sur une Coldcard Mk4. ça me semble moins potentiellement capricieux que la bitbox et son tactile, mais j'hésite encore.
|
|
|
|
Becassine
|
|
July 14, 2023, 01:44:13 PM |
|
Salut à tous, Je me suis pris une bitbox02 pour compléter mon trezor 1 et ledger nano X. Assez sympa, le système tactile pour les mots de passe est un peu perturbant au début mais on s' y fait.. Je trouve le system de backup sur microSD à la fois génial et effrayant Oui c'est toujours un peu les côtés pile et face de la sécurité ... Accéder aisément à ses fonds tout en les protégeant efficacement. De toutes façons un backup sur du papier de pierre ou du metal est sans doute indispensable pour les gens qui ont beaucoup de fonds. Salut à tous, Je me suis pris une bitbox02 pour compléter mon trezor 1 et ledger nano X. Assez sympa, le système tactile pour les mots de passe est un peu perturbant au début mais on s' y fait.. Je trouve le system de backup sur microSD à la fois génial et effrayant Pourquoi la microSD est effrayante ? Je suis de plus en plus tenté par une bitbox btc-only, mais c'est le prix + le tactile qui m'effraient un peu J'utilise Electrum, et un vieux Ledger Nano S (donc pas concerné par les mises à jour qui puent pour la seed), et je cherche à remplacer le Ledger pour une solution full open source. Je pense partir sur une Coldcard Mk4. ça me semble moins potentiellement capricieux que la bitbox et son tactile, mais j'hésite encore. Il n'y a pas de MAJ sur les nano S ? J'espère que je vais pouvoir organiser un autre concours avec une bitbox
|
|
|
|
RoyalMoney
Copper Member
Member
Offline
Activity: 62
Merit: 16
Crypto Ferengi
|
|
July 14, 2023, 09:31:33 PM |
|
Oui évidemment, le backup de la seed c'est la base Quand je dis effrayant et génial, c'est parce que ç'est super simple pour une réinstallation mais en même temps, on a envie de l'effacer Par contre pour le tactile je ne pense pas qu-il y ai de stress à avoir, un bouton mécanique n'est pas nécessairement plus fiable.
|
|
|
|
Becassine
|
|
July 16, 2023, 01:24:27 AM |
|
Oui évidemment, le backup de la seed c'est la base Quand je dis effrayant et génial, c'est parce que ç'est super simple pour une réinstallation mais en même temps, on a envie de l'effacer Par contre pour le tactile je ne pense pas qu-il y ai de stress à avoir, un bouton mécanique n'est pas nécessairement plus fiable. De toutes façons ce n'est pas comme si l'objet en question coûtait une fortune. Alors bien sûr on veut un outil fiable dans le temps et peut-être qu'une bitbox peut durer 100 ans, mais on nous avait aussi vendu à l'époque les CD's et DVD à leur sortie comme inaltérables ( https://www.zdnet.fr/actualites/cd-et-dvd-ne-sont-pas-fiables-selon-l-academie-des-sciences-39750471.htm) Et que dire des disques durs externes ? Pareil, finalement personne ne sait vraiment la durée de vie de tous ces appareils, on stocke des données et un jour on a plus rien (photos etc). Alors la seed elle est d'abord en sécurité ailleurs, sur un bon vieux truc à l'ancienne, des boulons ou des plaques en acier inoxydables.
|
|
|
|
F2b
|
|
July 16, 2023, 07:56:21 AM |
|
En effet la comparaison n'est pas mauvaise. Un objet électronique peut toujours tomber en panne, et généralement ça ne prévient pas. Un autre point commun assez évident, c'est qu'il faut toujours avoir un plan de sauvegarde efficace. Même si bien sûr les moyens doivent être proportionnés à ce qu'il y a à sauvegarder. Une clé privée / seed phrase c'est pas long et ça peut avoir beaucoup de valeur, donc comme tu le dis on s'attachera à en avoir plusieurs copies sur des supports différents, bien planqués, idéalement dans des emplacements différents ; là où les photos du dernier repas de famille seront plutôt stockées sur un unique disque dur externe de 10 ans, idéalement ceux qui se posent à la verticale, à 5 cm du bord du bureau.
|
npub1zc4r69x9nxg7h0qcs705k6c5yt7xaydtjrlsthk99vmgg2t2xgssd7mdde
|
|
|
Saint-loup
Legendary
Offline
Activity: 2800
Merit: 2428
|
|
July 18, 2023, 03:37:42 PM Last edit: July 18, 2023, 04:00:21 PM by Saint-loup |
|
De toutes façons ce n'est pas comme si l'objet en question coûtait une fortune. Alors bien sûr on veut un outil fiable dans le temps et peut-être qu'une bitbox peut durer 100 ans, mais on nous avait aussi vendu à l'époque les CD's et DVD à leur sortie comme inaltérables ( https://www.zdnet.fr/actualites/cd-et-dvd-ne-sont-pas-fiables-selon-l-academie-des-sciences-39750471.htm) Et que dire des disques durs externes ? Pareil, finalement personne ne sait vraiment la durée de vie de tous ces appareils, on stocke des données et un jour on a plus rien (photos etc). Alors la seed elle est d'abord en sécurité ailleurs, sur un bon vieux truc à l'ancienne, des boulons ou des plaques en acier inoxydables. Attention quand même aux archivages sur plaques en acier inoxydable, l'acier ça fond avec la chaleur (donc peu résistant aux incendies), ça ne permet pas d'être retrouvé plus facilement en cas d'effondrement du bâtiment où c'est stocké et surtout ça n'empêche pas le vol. Et sachant que la probabilité que 2 événements indépendants se réalisent est égal au produit de leur probabilité, il peut-être plus sûr de stocker sa seed sur un morceau de papier dans 2 endroits différents que de la graver dans du marbre à un seul endroit. Meme si j'ai 1000 fois moins de chances de perdre ma seed en la gravant sur une plaque d'inox qu'en l'inscrivant sur une feuille de PQ. Si j'ai une chance sur 10 000 de perdre la feuille de PQ un jour J, en ayant 2 feuilles de PQ à 2 endroits différents j'ai une chance sur 100 millions de les perdre toutes les 2 ce jour J(10 000 x 10 000), contre une chance sur 10 millions de perdre la plaque ce jour là(10 000 x 1000). Autrement dit j'ai 10 fois plus de chances de perdre la plaque que 2PQ le même jour.
|
|
|
|
|