Le fournisseur de portefeuilles matériels Ledger a démontré à Trezor qu'il pouvait contourner les contrôles de sécurité sur les modèles Trezor Safe 3 et 5, ce qui a incité Trezor à corriger la vulnérabilité.
Le fournisseur de portefeuilles matériels Trezor a corrigé une vulnérabilité de sécurité dans deux de ses derniers modèles après que l'unité de recherche open-source de Ledger a découvert une faille dans ses microcontrôleurs.
Ledger Donjon a reconnu que Trezor avait récemment apporté plusieurs améliorations en matière de sécurité, mais a noté que des opérations cryptographiques pouvaient encore être effectuées sur le microcontrôleur des modèles Trezor Safe 3 et 5, ce qui les rendait "vulnérables à des attaques plus sophistiquées".
Malheureusement, Trezor a déjà corrigé les vulnérabilités découvertes, a déclaré Charles Guillemet, directeur technique de Ledger, dans un message publié le 12 mars.
Au @Ledger, vous savez peut-être que nous avons le @DonjonLedger, notre équipe dédiée qui mène constamment des recherches sur la sécurité ouverte.
- Charles Guillemet (@P3b7_) 12 mars 2025
Nous avons récemment travaillé avec Trezor, révélant que leur Trezor Safe 3 était sensible aux attaques de la chaîne d'approvisionnement physique. Voici un fil de discussion sur nos découvertes:🧵 pic.twitter.com/CORDOQWRYg
X
"Nous pensons que l'amélioration de la sécurité de l'écosystème est bénéfique pour tous et essentielle pour encourager une plus grande adoption des cryptocurrencies et des actifs numériques", a ajouté Guillemet.
Trezor a déjà mis en place des puces "Secure Elements" conçues pour protéger le code PIN de l'utilisateur et les secrets cryptographiques, car certains appareils Trezor pourraient être piratés en modifiant le logiciel sur lequel ils fonctionnent, ce qui permettrait potentiellement aux attaquants de voler les fonds des utilisateurs.
La fonction Secure Elements "empêche efficacement toute attaque matérielle peu coûteuse, en particulier les pannes de courant", a déclaré Ledger dans un communiqué du 12 mars.
"Cela garantit aux utilisateurs la sécurité de leurs fonds même si l'appareil est perdu ou volé." Cependant, Ledger a découvert un autre vecteur d'attaque potentiel provenant du microcontrôleur, l'autre élément central de la conception à double puce des modèles Safe 3 et 5 de Trezor.
Trezor résout la vulnérabilité de l'intégrité et de la vérification du micrologiciel
Trezor a mis en place un contrôle d'intégrité du micrologiciel pour détecter les logiciels altérés, mais Ledger a pu démontrer qu'un attaquant pouvait toujours contourner ce contrôle de sécurité.
Depuis, Trezor a corrigé le problème, bien que ni Ledger ni Trezor n'aient expliqué comment.
Trezor a confirmé sur X que les fonds des utilisateurs restent en sécurité, et qu'aucune action n'est nécessaire.
.Hi, vos fonds restent en sécurité, et vous n'avez pas besoin de prendre des mesures. Ledger Donjon a réutilisé une attaque déjà connue pour contourner certaines de nos contre-mesures contre les attaques de la chaîne d'approvisionnement dans Trezor Safe 3. Néanmoins, les utilisateurs qui achètent auprès de sources officielles sont entièrement sécurisés🔒
- Trezor (@Trezor) 12 mars 2025
X
Cependant, lorsqu'on lui a demandé si Trezor avait pu corriger le problème avec une mise à jour du micrologiciel, le vendeur de portefeuilles matériels a répondu : "Malheureusement non".
"En matière de cybersécurité, la règle d'or est simple : rien n'est totalement invulnérable. C'est pourquoi nous avons déjà mis en place une protection multicouche contre les attaques de la chaîne d'approvisionnement et nous conseillons toujours à nos utilisateurs d'acheter auprès de sources officielles."
En décembre 2023, un pirate informatique a compromis la bibliothèque de connecteurs de Ledger et a volé des cryptocurrencies d'une valeur de 484 000 dollars.
Un autre attaquant, qui a piraté les systèmes de Ledger, a publié les adresses électroniques d'environ 270 000 clients de Ledger en juin 2020.
Bien que Trezor ait patché les dernières vulnérabilités de sécurité identifiées par Ledger, des inquiétudes subsistent quant aux vecteurs d'attaque potentiels via le microcontrôleur.
Les deux entreprises soulignent l'importance des améliorations continues de la sécurité et de la protection multicouche pour protéger les fonds des utilisateurs. Malgré les brèches passées affectant le secteur des portefeuilles matériels de crypto-monnaies, Trezor rassure les utilisateurs sur le fait que leurs fonds restent en sécurité et qu'aucune action immédiate n'est requise.
