Il y a quelques jours, le fournisseur de solutions de stockage pour les cryptomonnaies Ledger a été victime d’une attaque sur la bibliothèque du kit de connexion, mettant en danger les fonds de millions d’utilisateurs. Heureusement, l’équipe de l’entreprise est intervenue rapidement en installant un correctif de sécurité.
Après cet événement, de nombreux utilisateurs du monde de la crypto, mécontents du manque de mesures de précaution chez Ledger qui auraient pu éviter l’exploit en amont, ont commencé à s’intéresser de plus en plus au concurrent Trezor, également fabricant de portefeuilles non-custodiaux.
Dans cet article, nous explorons Trezor, toutes ses fonctionnalités et ses normes de sécurité.
Summary
Tempête Ledger : une faille dans la bibliothèque du kit de connexion met en danger les portefeuilles cryptographiques de millions d’utilisateurs
Jeudi 14 décembre, une shitstorm s’est déchaînée sur X contre le fournisseur de portefeuilles crypto Ledger, ce qui a incité de nombreux utilisateurs à envisager de passer au concurrent Trezor.
Tout a commencé lorsque à 11 heures italiennes, il a été découvert que le compte Github de l’ancien employé de Ledger a été compromis (probablement par une attaque phishing) permettant à des individus malveillants d’installer une version malveillante du kit de connexion directement sur le référentiel.
Le kit de connexion est une liaison qui permet aux utilisateurs de plateformes décentralisées de connecter leur Ledger à différentes dapp, et il s’ouvre généralement dès que vous visitez un site web qui présente la connexion web3.
Le problème dans ce cas est que le code malveillant a été diffusé sur les CDN et était fourni à tous ceux qui interagissaient avec la bibliothèque Wallet Connect de Ledger, c’est-à-dire 99% de toutes les dapps existantes. Revoke.Cash a également été touché.
Toute personne qui s’est connectée à son ledger via le kit de connexion le 14 décembre de 11h à 17h a été victime d’un piratage qui, en quelques mots, affichait une fenêtre contextuelle (comme sur la photo ci-dessous) qui, si elle était cliquée, aurait entraîné le vidage du portefeuille de crypto-monnaie.
Pour le moment, la situation semble être sous contrôle, avec l’équipe de Ledger qui a installé une nouvelle version du kit de connexion avec un correctif qui résout le problème.
De toute façon, il y a encore beaucoup de doutes sur les conséquences potentielles que cette exploitation a pu avoir au sein de la communauté cryptographique.
Tout d’abord, les développeurs de dapp sont désormais à risque s’ils continuent à implémenter une version non mise à jour de la bibliothèque Ledger, et s’ils n’ont pas pris de mesures après l’incident grave, ils pourraient nuire à tous les utilisateurs de l’application.
De plus, nous ne savons pas si le bug a pu propager des malwares à l’intérieur des appareils des personnes qui ont visité dapp le 14 décembre, même si elles n’ont pas été piégées par la fenêtre pop-up malveillante.
La communauté des white hat et Ledger elle-même ont rapidement résolu l’exploit tumultueux en limitant les dommages au maximum, mais les risques sont toujours présents et de nombreux utilisateurs décident de quitter la maison de production du portefeuille pour passer au concurrent Trezor.
Petit conseil après l’incident: comme suggéré par le compte X « Mudit Gupta » et ensuite par » Blackie » (qui a joué un rôle essentiel dans la diffusion rapide de la nouvelle au sein de la communauté italienne), vérifiez si la version du kit de connexion sur le réseau cdn est « 1.1.8 », et dans tous les cas, supprimez toutes les données de navigation sur Chrome telles que les cookies et le cache.
Alternative Trezor: qu’est-ce que c’est et comment fonctionne ce portefeuille ? plus sécurisé que le Ledger ?
Come accennato, dopo il grave incidente capitato in casa Ledger, beaucoup d’utilisateurs ont commencé à se tourner vers le portefeuille crypto Trezor avec l’idée que ce dernier est plus sûr que son concurrent.
Voyons donc quelles sont les principales caractéristiques du Trezor et en quoi il diffère du principal concurrent.
Nous rappelons cependant que l’exploit dont nous avons parlé ne concerne pas le dispositif physique en soi, mais plutôt une pratique ambiguë selon laquelle un ancien employé de Ledger pourrait publier un code malveillant sur Github via CDN.
Tout d’abord, clarifions que Trezor est un portefeuille matériel non custodial, qui sert à détenir des crypto-monnaies sans confier les clés privées à une tierce partie.
Il fonctionne de la même manière que d’autres solutions non-custodiales, où une fois l’appareil démarré, vous pouvez choisir de récupérer un portefeuille à partir d’une phrase de récupération déjà existante ou d’initialiser un compte à partir de zéro.
La phrase de récupération, ainsi que le code PIN de l’appareil, représentent les deux principales mesures de sécurité de ce portefeuille matériel qui protège l’utilisateur contre la perte, le vol ou certaines attaques informatiques.
Il existe 3 modèles différents de Trezor (modèle one, safe 3 et modèle T) chacun d’entre eux prend en charge plus de 800 coins ou tokens et permet d’envoyer, de transférer ou de conserver des actifs.
Le modèle one fonctionne via un câble USB tandis que les deux autres fonctionnent via USB-C.
Le modèle T, c’est-à-dire le plus cher et le plus récent, présente un écran tactile de 1,54 pouces tandis que les autres ont le « two-botton pad ».
Tous les trois ont un code qui est open source et représente l’une des caractéristiques distinctives de Trezor, qui met fortement l’accent sur la sécurité, la transparence et la confidentialité.
Il est également possible de connecter le logiciel de navigation anonyme Tor aux 3 portefeuilles de crypto-monnaie, ce qui permet de se protéger contre certains dangers du web.
Nous passons maintenant aux différences avec le Ledger :
Par rapport au Ledger, le portefeuille Trezor a un code source ouvert (open source), ce qui le rend beaucoup plus attrayant que le premier, avec un code fermé auquel tout le monde « doit faire confiance ».
Le contexte de l’open source permet de garder un contrôle sur les bugs et de résoudre les problèmes beaucoup plus rapidement que n’importe quel système confiné en privé.
Une autre différence concerne le célèbre « élément sécurisé », c’est-à-dire une véritable puce présente sur TOUS les appareils Ledger (alors qu’elle n’est présente que sur le safe 3 de Trezor) et qui constitue une mesure de sécurité empêchant les personnes malveillantes d’obtenir les clés privées du portefeuille en cas de vol de l’appareil.
Les clés privées ne quittent jamais l’élément sécurisé, ce qui est un grand point fort du Ledger.
Sur le sujet des matériaux, ici aussi Ledger l’emporte sur Trezor : le métal du premier est beaucoup plus résistant que le plastique utilisé dans la production du second..
Les applications installables sont les mêmes et sont disponibles dans les deux cas sur iOS et Android.
Enfin, en ce qui concerne la réputation de la marque, nous pouvons dire que Ledger, après sa dernière erreur, a aggravé une situation déjà critique en ce qui concerne la confiance dans le monde de la crypto.
La société avait déjà fait parler d’elle en mal pour des questions controversées (comme la fonction « Recover » proposée il y a quelques mois), mais après le dernier incident grave qui aurait pu être évité s’il y avait eu des mesures plus professionnelles, il est évident qu’il n’y a plus de raisons de faire confiance.
Trezor a toujours démontré son engagement envers la sécurité de ses appareils et la transparence de ses opérations.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://fr.cryptonomist.ch/2023/12/16/linteret-pour-le-portefeuille-crypto-trezor-augmente-apres-lexploit-de-la-bibliotheque-du-kit-de-connexion-ledger/&media=https://fr.cryptonomist.ch/wp-content/uploads/2023/12/trezor-crypto-wallet.jpg&description="Merci" à l'exploit subi par Ledger, les portefeuilles crypto de Trezor ont enregistré une augmentation notable d'intérêt.){kind=link}