Le fournisseur de portefeuilles matériels cryptographiques Ledger reçoit un contrecoup majeur de sa base d’utilisateurs en ligne après avoir publié une mise à jour controversée qui, selon beaucoup, expose des failles de sécurité majeures chez le fabricant.
Ledger a affirmé que la nouvelle fonctionnalité est à la fois sûre et entièrement facultative, mais les experts en sécurité et les détenteurs de crypto se distancient déjà de l’entreprise.
Sommaire
Service de récupération controversé de Ledger
Les inquiétudes ont commencé à gonfler tard lundi après que l’utilisateur de Reddit Joe_Smith _Reddit a publié un poste demander un « oui ou non » officiel pour savoir si Ledger dispose d’une porte dérobée intégrée pour accéder aux clés privées des utilisateurs. Une clé privée est la chaîne alphanumérique secrète qui permet aux utilisateurs d’accéder à leur crypto sur la blockchain.
La question de Smith concernait spécifiquement le nouveau service « Ledger Recover » de Ledger – un service d’abonnement pour les détenteurs d’appareils Nano X qui leur permet de récupérer leur crypto même s’ils ont perdu à la fois leur appareil de portefeuille et leur phrase de récupération. Une phrase de récupération est la clé privée d’un utilisateur exprimée sous forme mnémonique.
Selon Ledger, le service – activé dans la mise à jour 2.2.1 du micrologiciel – fonctionne en dupliquant la phrase de récupération de l’appareil sur l’appareil, en chiffrant la copie, en la fragmentant en trois parties et en la sécurisant avec Ledger, Coincover et un troisième fournisseur sans nom. Pour accéder au service, les utilisateurs doivent vérifier leur identité à l’aide d’un document d’identité et d’un enregistrement de selfie.
Dans un suivi Fil Twitter Mardi, Ledger a précisé que le service est entièrement « facultatif » et n’est automatiquement activé par aucune mise à jour du micrologiciel. « Votre phrase de récupération secrète est générée en toute sécurité sur votre appareil. Nous n’y avons pas accès », a ajouté la société.
Les clés privées des utilisateurs de Ledger peuvent-elles « tapis » ?
Malgré les assurances de Ledgers, les inquiétudes de la communauté ont continué à grossir autour d’une idée clé : la mise à jour a prouvé que les appareils Ledger ne protégeaient pas, malgré les affirmations du fabricant, les clés privées de ses utilisateurs de tout accès externe.
« Faire confiance à l’élément sécurisé propriétaire pour faire sa part était le seul fil conducteur qui maintenait cette entreprise ensemble et maintenant, cela a été rompu », a écrit StPinkie, utilisateur de Reddit, en réponse à Ledger mardi. « Je ne peux plus recommander Ledger à quiconque se soucie de sa souveraineté numérique. »
Le populaire développeur de crypto, écrivain et auditeur « foobar » sur Twitter a fait écho à cette réponse, exhortant les abonnés à s’éloigner immédiatement des portefeuilles Ledger.
Arrêtez d’utiliser les portefeuilles matériels Ledger. Éloignez-vous d’eux immédiatement. Ils n’ont rien montré d’autre qu’une incompétence flagrante et une incompréhension sauvage de leur propre objectif. Et maintenant, ils ont publiquement admis avoir intentionnellement détourné leur propre matériel propriétaire. Arrêter d’utiliser Ledger pic.twitter.com/LLFFUsOW4y
– foobar (@0xfoobar) 16 mai 2023
« Le problème flagrant avec cette mise à jour est que cela expose votre clé privée peut être robuste à tout moment avec une mise à jour de firmware malveillante ou erronée », a-t-il déclaré. ajoutée.
Autres utilisateurs indiqué la contradiction entre les affirmations de Ledger sur son site Web selon lesquelles les clés des utilisateurs « ne quittent jamais l’appareil », par rapport à son service Ledger Recover, qui « distribue » les clés privées des utilisateurs à trois fournisseurs différents en fragments, selon le PDG Pascal Gauthier.
Il s’agit d’une masterclass sur la façon de tuer votre cœur de métier en essayant «d’innover».
Je n’arrêtais pas de vous recommander même après avoir doxxé vos clients, mais c’est la goutte d’eau qui fait déborder le vase.
✌️
– Chris Dunn (@ChrisDunnTV) 16 mai 2023
De nombreux membres de la communauté ont recommandé que Ledger lance un portefeuille séparé qui offre un service de récupération de semences, plutôt que de le déployer en tant que mise à jour du micrologiciel aux clients existants qui attendaient une sécurité maximale de leurs appareils.
Le grand livre a compromis sécurité des utilisateurs dans le passé en divulguant accidentellement des informations personnelles sur plus de 270 000 clients en juillet 2020, qui ont ensuite été victimes de campagnes de phishing par e-mail et SMS. Cette fuite n’a pas impacté la sécurité des clés privées des utilisateurs.
Ventes au grand livre dopé au lendemain de l’effondrement de FTX en novembre, précisément alors que les investisseurs cherchaient à sécuriser leur propre crypto en toute sécurité sans faire confiance aux intermédiaires centralisés.
Binance Free 100 $ (Exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (conditions).
Offre spéciale PrimeXBT : utilisez ce lien pour vous inscrire et entrez le code CRYPTOPOTATO50 pour recevoir jusqu’à 7 000 $ sur vos dépôts.
Vous pourriez aussi aimer:
-
Trezor active la fonction de confidentialité CoinJoin pour les utilisateurs de Bitcoin
-
Ledger exploite une valorisation de 1,4 milliard de dollars après avoir obtenu un financement de 109 millions de dollars
-
LayerZero Partners L1 Protocol Radix pour améliorer l’expérience utilisateur Web3
