Kraken : les wallets de Trezor piratables en 15 minutes d'accès physique

Kraken : les wallets de Trezor piratables en 15 minutes d'accès physique

L'équipe de recherche en sécurité de l'exchange Kraken, Kraken Security Labs, a identifié une faille de sécurité critique dans les crypto-wallets de Trezor. Celle-ci permettrait à de potentiels pirates d'extraire des seeds en moins de 15 minutes.

 

Une attaque plutôt simple

La seed, que l'on peut traduire par phrase mnémotechnique, est le moyen que les utilisateurs ont de récupérer leurs fonds même si leur wallet est cassé, perdu ou volé. En outre, si elle tombe entre les mains d'une personne mal intentionnée, cette dernière pourra aisément subtiliser les fonds du wallet relié à cette seed.

Tout en donnant les nombreux détails techniques, Kraken explique qu'il a été possible de récupérer les seeds chiffrées des wallets en exploitant le voltage de deux modèles, le Trezor One et le Trezor Model T.

Même si cette attaque nécessite d'avoir un accès physique au wallet, cette dernière peut-être réalisée avec une rapidité et une facilité déroutante. Bien que la seed soit chiffrée, les chercheurs ont réussi à forcer la combinaison et donc à déverrouiller l'accès au wallet en seulement 2 minutes :

Cette attaque s'appuie sur des pics de tension pour extraire une seed chiffrée. Cette recherche initiale a nécessité un certain savoir-faire et plusieurs centaines de dollars d'équipement, mais nous estimons que nous (ou des malfaiteurs) pourrions produire en masse un dispositif simple d'utilisation qui pourrait être vendu pour environ 75 dollars.

Selon Nick Percoco, chef de la sécurité chez Kraken, la faille est un défaut inhérent au microcontrôleur utilisé dans les wallets de Trezor, ce qui explique que la vulnérabilité demeure bien que Trezor soit au courant. Pour réparer cette faille, il faudrait que le fabricant repense complètement la conception de ses wallets et éventuellement qu'il rappelle tous les modèles actuellement sur le marché :

C'est une faille qui est présente dans le matériel, pas quelque chose qu'ils peuvent simplement mettre à jour et réparer pour tous leurs clients. Pour résoudre ce problème, ils auraient tout intérêt à sortir un nouvel appareil.

? À lire sur le même sujet : Comment sécuriser et stocker ses crypto-monnaies ?

 

La réponse de Trezor

Plusieurs heures après que Kraken ait signalé la vulnérabilité, la réponse de Trezor a été de rappeler que les utilisateurs doivent veiller à ne pas laisser l'accès au wallet à quiconque pour protéger leurs fonds contre des attaques de ce type. Ils ont ajouté :

Il est important de noter que cette attaque n'est viable que si la fonction Passphrase ne protège pas le dispositif. Une phrase secrète forte atténue pleinement les possibilités d'une attaque réussie.

La passphrase est une fonction optionnelle des appareils de Trezor qui permet aux utilisateurs de créer des wallets cachés. Les passphrase servent de protection de second plan de la seed et constituent la protection ultime contre les attaques impliquant un accès physique. Pour temporairement résoudre ce problème, Trezor aurait tout intérêt à retirer le caractère optionnel de cette fonctionnalité.

L'équipe de Trezor a également ajouté qu'elle est parfaitement consciente de l'existence de ce problème qui permet à un attaquant ayant des connaissances spécialisées d'obtenir le précieux sésame qu'est la seed.

De manière plutôt maladroite, Trezor a cherché à minimiser l'importance du problème en soulignant que la principale menace pesant sur les détenteurs de cryptomonnaies était en réalité les attaques en ligne et à distance, en ajoutant que tout matériel est susceptible d'être piraté.

Même si selon le fabricant, les attaques physiques ne représentent que 6% du nombre total de tentatives d'accès aux fonds de ses wallets, l'équipe a conclu en affirmant qu'elle était autant préoccupée par la résolution des vulnérabilités physiques que celles à distance.

 

Dans le cas où vous seriez vous-mêmes un utilisateur d'un wallet Trezor, pensez à activer la fonction de passphrase pour vous protéger d'une telle attaque. Bien que cette option n'est pas vraiment pratique, Kraken recommande son utilisation et reconnait sa viabilité. N'oubliez pas que tel un mot de passe, votre passphrase doit être suffisamment robuste afin de ralentir d’éventuelles attaques par force brute.

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

1 milliard de dollars de liquidations : le marché crypto voit rouge

1 milliard de dollars de liquidations : le marché crypto voit rouge

Quelles sont les 3 cryptos qui surperforment le marché ?

Quelles sont les 3 cryptos qui surperforment le marché ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?