L'équipe de recherche en sécurité de l'exchange Kraken, Kraken Security Labs, a identifié une faille de sécurité critique dans les crypto-wallets de Trezor. Celle-ci permettrait à de potentiels pirates d'extraire des seeds en moins de 15 minutes.

 

Une attaque plutôt simple

La seed, que l'on peut traduire par phrase mnémotechnique, est le moyen que les utilisateurs ont de récupérer leurs fonds même si leur wallet est cassé, perdu ou volé. En outre, si elle tombe entre les mains d'une personne mal intentionnée, cette dernière pourra aisément subtiliser les fonds du wallet relié à cette seed.

Tout en donnant les nombreux détails techniques, Kraken explique qu'il a été possible de récupérer les seeds chiffrées des wallets en exploitant le voltage de deux modèles, le Trezor One et le Trezor Model T.

Même si cette attaque nécessite d'avoir un accès physique au wallet, cette dernière peut-être réalisée avec une rapidité et une facilité déroutante. Bien que la seed soit chiffrée, les chercheurs ont réussi à forcer la combinaison et donc à déverrouiller l'accès au wallet en seulement 2 minutes :

Cette attaque s'appuie sur des pics de tension pour extraire une seed chiffrée. Cette recherche initiale a nécessité un certain savoir-faire et plusieurs centaines de dollars d'équipement, mais nous estimons que nous (ou des malfaiteurs) pourrions produire en masse un dispositif simple d'utilisation qui pourrait être vendu pour environ 75 dollars.

Selon Nick Percoco, chef de la sécurité chez Kraken, la faille est un défaut inhérent au microcontrôleur utilisé dans les wallets de Trezor, ce qui explique que la vulnérabilité demeure bien que Trezor soit au courant. Pour réparer cette faille, il faudrait que le fabricant repense complètement la conception de ses wallets et éventuellement qu'il rappelle tous les modèles actuellement sur le marché :

C'est une faille qui est présente dans le matériel, pas quelque chose qu'ils peuvent simplement mettre à jour et réparer pour tous leurs clients. Pour résoudre ce problème, ils auraient tout intérêt à sortir un nouvel appareil.

👉 À lire sur le même sujet : Comment sécuriser et stocker ses crypto-monnaies ?

 

La réponse de Trezor

Plusieurs heures après que Kraken ait signalé la vulnérabilité, la réponse de Trezor a été de rappeler que les utilisateurs doivent veiller à ne pas laisser l'accès au wallet à quiconque pour protéger leurs fonds contre des attaques de ce type. Ils ont ajouté :

Il est important de noter que cette attaque n'est viable que si la fonction Passphrase ne protège pas le dispositif. Une phrase secrète forte atténue pleinement les possibilités d'une attaque réussie.

La passphrase est une fonction optionnelle des appareils de Trezor qui permet aux utilisateurs de créer des wallets cachés. Les passphrase servent de protection de second plan de la seed et constituent la protection ultime contre les attaques impliquant un accès physique. Pour temporairement résoudre ce problème, Trezor aurait tout intérêt à retirer le caractère optionnel de cette fonctionnalité.

L'équipe de Trezor a également ajouté qu'elle est parfaitement consciente de l'existence de ce problème qui permet à un attaquant ayant des connaissances spécialisées d'obtenir le précieux sésame qu'est la seed.

De manière plutôt maladroite, Trezor a cherché à minimiser l'importance du problème en soulignant que la principale menace pesant sur les détenteurs de cryptomonnaies était en réalité les attaques en ligne et à distance, en ajoutant que tout matériel est susceptible d'être piraté.

Même si selon le fabricant, les attaques physiques ne représentent que 6% du nombre total de tentatives d'accès aux fonds de ses wallets, l'équipe a conclu en affirmant qu'elle était autant préoccupée par la résolution des vulnérabilités physiques que celles à distance.

 

Dans le cas où vous seriez vous-mêmes un utilisateur d'un wallet Trezor, pensez à activer la fonction de passphrase pour vous protéger d'une telle attaque. Bien que cette option n'est pas vraiment pratique, Kraken recommande son utilisation et reconnait sa viabilité. N'oubliez pas que tel un mot de passe, votre passphrase doit être suffisamment robuste afin de ralentir d’éventuelles attaques par force brute.

Newsletter 🍞
Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Clément Wardzala

twitter-soothsayerdatatwitter-soothsayerdata

Depuis 2017, je m'intéresse au Bitcoin, aux cryptomonnaies et à la technologie blockchain associée. Je crois fermement en ces innovations technologiques et qu’elles révolutionnent déjà de nombreux secteurs.
Tous les articles de Clément Wardzala.

guest
0 Commentaires
Inline Feedbacks
View all comments