Ledger répond aux craintes des clients concernant la sécurité du portefeuille, mais supprime le tweet « déroutant »

Les discussions en ligne continuent de tourbillonner autour de la nouvelle mise à jour du micrologiciel de Ledger pour son portefeuille matériel cryptographique, qui, selon les experts, pourrait mettre en danger les clés privées des utilisateurs.

Ledger a publié mercredi un fil Twitter tentant de dissiper les inquiétudes concernant la sécurité des actifs des utilisateurs, mais a publié un tweet contradictoire et déroutant qui a encore attisé les flammes de la controverse.

Tweet inquiétant de Ledger

Dans un tweet maintenant supprimé, le support de Ledger a vérifié les critiques de mercredi exposant une réalité gênante de l’utilisation de leur produit : le fabricant pourrait, techniquement, publier un micrologiciel qui extrait les clés privées des utilisateurs de leurs portefeuilles.

« Vous avez toujours fait confiance à Ledger pour ne pas déployer un tel micrologiciel, que vous le sachiez ou non », a écrit la société.

Cela contredit une affirmation de la société compte principal en novembre dernier, dans lequel Ledger affirmait que les clés privées des utilisateurs ne pouvaient pas être extraites de la puce d’élément sécurisé d’un portefeuille via une mise à jour du micrologiciel.

À l’époque, Ledger et d’autres fabricants de portefeuilles enregistraient des ventes record à la suite de l’effondrement de FTX, alors que les investisseurs en crypto recherchaient la sécurité de l’auto-garde et du stockage à froid pour leurs crypto-actifs.

Le jeudi, Ledger a dit qu’il a décidé de supprimer son tweet du mercredi en raison de sa « formulation confuse ». Cependant, le CTO de Ledger, Charles Guillemet, a publié un fil de discussion expliquant que les portefeuilles, en général, ont « de nombreuses façons » de mettre en œuvre une porte dérobée, et qu’un certain niveau de confiance est requis pour tout achat de portefeuille tiers.

22/
Si vous voulez être complètement sans confiance, vous devrez apprendre l’électronique pour construire votre ordinateur, apprendre l’ASM pour construire votre compilateur, puis construire une pile de portefeuille, votre propre nœud et synchroniseur, vous devrez apprendre la cryptographie pour construire le vôtre pile de signatures.

—Charles Guillemet (@P3b7_) 18 mai 2023

« L’open source ne résout pas vraiment cela », a-t-il ajouté. « Il est impossible d’avoir des garanties que l’électronique elle-même n’est pas dérobée, ni que le micrologiciel qui s’exécute à l’intérieur du portefeuille est celui que vous avez audité. »

Récupération du grand livre

Les critiques autour de Ledger ont augmenté mercredi après que la société a annoncé son nouveau service de portefeuille matériel « Ledger Recover ». Avec l’autorisation de l’utilisateur, le service divise les clés privées d’un portefeuille en trois fragments, les chiffre et les stocke auprès de trois fournisseurs centralisés distincts, dont Ledger.

Le service d’abonnement exige que les utilisateurs fournissent des informations d’identification personnelles avant de l’utiliser. En retour, les utilisateurs bénéficient d’une méthode de récupération de leurs clés privées au cas où ils perdraient à la fois leur périphérique matériel et la sauvegarde papier de la phrase de départ.

La communauté crypto a fustigé le service et sa mise à jour de micrologiciel associée pour avoir ajouté un chemin de code qui peut envoyer des clés privées à des tiers. De nombreux experts, dont le développeur et l’auditeur « foobar », ont recommandé aux abonnés de cesser d’utiliser les appareils de l’entreprise.

Si vous avez un registre, vos clés ne sont pas (encore) compromises. Mais si vous mettez à niveau vers le dernier micrologiciel, il restera dans un chemin de code qui peut envoyer votre clé privée à des tiers. Étant donné que le grand livre a doxxé ses propres clients dans le passé, il est peu probable qu’ils gardent ces informations en sécurité

– foobar (@0xfoobar) 16 mai 2023