Ledger tente de rassurer sa communauté concernant son système de récupération de seed : cela suffira-t-il ?
La récente fonctionnalité « Ledger Recover » lancée par la société Ledger a suscité une vive polémique et a créé une certaine inquiétude au sein de sa communauté. Cette fonctionnalité permet aux utilisateurs de récupérer leur seed phrase en cas de perte en la découpant en 3 parties chiffrées. Cependant, la communication de Ledger concernant cette nouvelle fonctionnalité a été vivement critiquée.
Ledger Recover crée la polémique
Depuis l'introduction de sa nouvelle fonctionnalité « Ledger Recover », la société éponyme peine à rassurer sa communauté quant au fonctionnement de cette dernière. Et pour cause, cette fonctionnalité permet en substance d'extraire la seed phrase de l'utilisateur, puis de la découper en 3 parties distinctes et chiffrées afin de pouvoir la reconstituer si cela s'avérait nécessaire. Une extraction qui en inquiète certains.
Exclusivement disponible sur le modèle Nano X (pour le moment), Ledger Recover permet ainsi à tout utilisateur le souhaitant de récupérer sa seed phrase en cas de perte de cette dernière. Comme l'explique la documentation de Ledger à ce sujet, il est nécessaire de vérifier son identité auprès des prestataires choisis par Ledger, à savoir Onfido et Electronic IDentification, pour accéder à ce service. De son côté, Ledger affirme ne conserver aucune information d'identité relative à ses clients utilisant cette solution.
Une fois son identité vérifiée, l'utilisateur devra approuver manuellement le processus via sa Ledger Nano X, et c'est tout. Si l'utilisateur en question souhaite un jour récupérer sa seed, il devra simplement faire vérifier son identité et connecter sa Nano X à Ledger Recover depuis son ordinateur.
Ledger assure que ce processus est ultra sécurisé, et que les parties découpées de la seed (via l'algorithme Shamir) sont entièrement chiffrées chez les prestataires de Ledger. Et surtout, elles sont transmises de façon totalement indépendante les unes des autres.
👉 Pour aller plus loin — Apprenez à configurer votre hardware wallet Ledger Nano X
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Un évident manque de communication
Indéniablement, la communication de Ledger aurait dû être meilleure quant à la sortie de Ledger Recover, et les commentaires négatifs qui continuent de pleuvoir sur les réseaux sociaux en sont la preuve. À l'origine de la controverse notamment, un tweet de Ledger datant du mois de novembre 2022 indiquant que les clés privées des utilisateurs ne pouvaient être extraites du « Secure Elements », la puce conçue par Ledger et fabriquée par STMicroelectronics.
Nov 2022: A firmware update cannot extract the private keys from the Secure Element — Ledger
May 2023: Technically speaking it is and always has been possible to write firmware that facilitates key extraction — Ledger@Ledger, do you now understand the problem? pic.twitter.com/czG53SuCOu
— olimpio (@OlimpioCrypto) May 17, 2023
Rapidement, les réseaux se sont enflammés, comme le prouve un post Reddit (plus de 1 000 votes positifs et 800 commentaires) d'un utilisateur en colère :
« Je n'arrive pas à croire ce que je lis, cela semble absolument fou pour un fournisseur de porte-monnaie matériel de vous encourager à sauvegarder votre seed phrase en ligne ET de leur donner votre passeport/identifiant - en particulier un fournisseur qui a déjà souffert d'une violation de données ! [...] Encore une fois, je n'en reviens pas. Outre le risque d'être à nouveau piraté, outre le fait que cela va à l'encontre du fait de ne jamais partager votre seed et de ne jamais la stocker en ligne, cela ouvre la porte à un tout nouveau niveau d'escrocs de la cryptomonnaie ! »
Le tweet de Ledger du 17 mai indiquant « qu'il avait toujours été possible de coder un firmware permettant l'extraction de clé » a depuis été supprimé. À la place, le support de Ledger réoriente sa communauté vers un long thread de Charles Guillemet, le CTO de Ledger, visant à expliquer le fonctionnement d'un hardware wallet.
Acheter des cryptos sur eToroEric Larchevêque veut rassurer les utilisateurs
La polémique est telle qu'Eric Larchevêque, le co-fondateur et ancien PDG de Ledger a dû lui-même donner son avis (et confirmer le manque de communication de la société) dans un post sur Reddit :
« Je suis dévasté de venir sur ce subreddit, que j'ai créé il y a neuf ans, et de voir des images d'appareils Ledger en train de brûler, des insultes et beaucoup de colère. Honnêtement, je suis au bord des larmes. [...] Ma première démarche est de m'excuser en tant que cofondateur pour la façon dont ce lancement a été géré. [...] Pour moi, toute cette débâcle est un échec total en matière de relations publiques, mais absolument pas sur le plan technique. »
Il affirme par ailleurs que le modèle de sécurité de Ledger n'a absolument pas changé :
« La dure vérité, qui a été confirmée par de nombreux experts qui ont pris le temps de se pencher sur le sujet, est que rien n'a changé. Il ne s'est absolument rien passé. Le modèle de sécurité est le même qu'avant que vous ne connaissiez l'existence de Ledger Recover. [...] Ce qui a changé, c'est la perspective que certains d'entre vous avaient sur l'absence de confiance, qui s'est avérée beaucoup plus nuancée que vous ne le pensiez, et comme il s'agit d'un sujet très sensible, beaucoup sont devenus extrêmement furieux parce qu'ils avaient l'impression qu'on leur avait menti. »
Quoi qu'il en soit, Ledger insiste sur le fait que sa nouvelle fonctionnalité est tout à fait optionnelle, et que la seed d'un utilisateur n'ayant pas souscrit à ce service ne peut en aucune manière quitter la clé. Le cas échéant, les fractions de seed ne pourront être transférées sans l'accord donné manuellement par l'utilisateur. Ce qu'a d'ailleurs répété Charles Guillemet :
« En réalité, à l'intérieur d'une Ledger, il y a un élément sécurisé, et c'est ce dernier qui contient les clefs, le système d'exploitation et les applications. Le système d'exploitation a toujours besoin de la clef pour effectuer les signatures des opérations, mais tout ceci se fait avec le consentement de l'utilisateur. »
👉 Dans l'actualité - Tradez les cryptomonnaies sans frais : Coinbase présente son nouveau service premium
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunRecevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Le problème, c'est que la confiance en LEDGER est perdue.
Et que c'est définitif.
Comment les croire, maintenant ?
Ils ne résisteront aucunement aux injonctions gouvernementales, et ne pourront jamais garantir que les 3 sociétés détenant les parties chiffrées de la seed seront pérennes et diligentes ...
Tout à fait d’accord avec les propos. J’ajoute ma petite touche personnelle : plus une organisation repose sur des tiers, des entités, des systèmes et/ou des réseaux, plus grande est la probabilité d’exploiter des vulnérabilités. Le nouveau Recover est donc à risque et il affaiblit l’ensemble et surtout la confiance. Le système actuel de récupération est suffisant; c’est aussi à l’utilisateur de la wallet d’assurer une partie du job en « conservant » ses credentials. Tout ne doit pas être déporter vers des tiers et in fine entrevoir de nouveaux business très discutables. En matière de vision en termes de développement, il… Read more »