Ledger présente son nouveau service pour récupérer l’accès à son wallet sans seed phrase
Mardi, Ledger a présenté un nouveau produit permettant de récupérer l’accès à son wallet de cryptomonnaies sans même posséder sa seed phrase : Ledger Recover. Toutefois, cette annonce a engendré de fortes réactions négatives chez une part de la communauté par manque de compréhension. Qu’en est-il réellement ? Nous faisons le point.
Ledger Recover, un moyen de retrouver l’accès à son wallet sans seed phrase
Si vous avez lu notre précédent interview de Charles Guillemet, vous vous attendiez probablement à cette annonce : Ledger présente un service permettant de retrouver l’accès à son wallet de cryptomonnaies sans sa seed phrase.
Exciting update, Ledger has a new product, Ledger Recover, that’s launching soon: https://t.co/nT1VHnnSYz
🧵Here’s what Ledger Recover is and what it isn’t, explained by @P3b7_ & in the thread below. pic.twitter.com/RW1w07H6pK
— Ledger (@Ledger) May 16, 2023
La promesse de cette nouveauté, nommée Ledger Recover, est donc de donner l’accès à ses actifs numériques partout et à tout moment. Cela a été rendu possible grâce à un partenariat avec Coincover, qui assurera une sauvegarde de « qualité militaire », ainsi qu’un « fournisseur de services de sauvegarde indépendant ».
Comme le montre cette vidéo de présentation, la clé privée du portefeuille est scindée en 3 parties chiffrées, ne pouvant être déverrouillées que par le biais d’une vérification d’identité qui aura été configurée à la création du wallet :
En premier lieu, ce service sera disponible sur la Ledger Nano X, avant d’être étendu plus tard à la Nano S Plus et au Stax.
Bien entendu, il est important de préciser que cette option n’est en rien obligatoire, l’utilisateur choisit de son propre chef s’il souhaite s’abonner à ce service ou non.
? Pour aller plus loin — Apprenez à configurer votre hardware wallet Ledger
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Ledger au cœur d’une polémique
Une telle nouvelle est si contre-intuitive avec le concept de secret et de clé privée qu’elle n’a pas manqué de faire réagir une part de la communauté, sous prétexte que Ledger ou un quelconque autre tiers aurait accès aux clés privées.
Sur Reddit notamment, puis massivement sur Twitter, des utilisateurs se sont inquiétés que cette nouvelle mise à jour permettrait d’exposer la clé privée de son portefeuille à Internet, ce qui le rendrait alors « moins sécurisé qu’un hot wallet ».
Même le concurrent Trezor y est allé de sa petite pique, en tweetant la célèbre phrase « Not your keys, not your coins » :
Not👏Your👏Keys👏Not👏Your👏Coins
— Trezor (@Trezor) May 16, 2023
Parmi les autres arguments avancés, il y a eu aussi celui de la vie privée, compte tenu de la vérification d’identité nécessaire à la mise en place de ce service. En effet, que se passerait-il si la justice demandait à Ledger ces informations ?
Cryptoast Academy : Ne gâchez pas ce bull run, entourez vous d'expertsComment fonctionne réellement Ledger Recover
En réalité, une grande part de ces doutes vient d’une mauvaise compréhension du fonctionnement de Ledger Recover.
En premier lieu, il convient de préciser que pour n’importe quel portefeuille de cryptomonnaie, quel que soit le support ou la manière dont il a été créé, la clé privée est sollicitée lors de chaque interaction avec la blockchain. C’est le fondement même de notre écosystème.
En effet, la validation d’une transaction ne peut se faire qu’avec une attestation délivrée la signature préalable d’une clé privée, et un hardware wallet apportera une couche de sécurité supplémentaire en permettant de déconnecter le tout après utilisation. C’est pourquoi il est primordial de faire attention avec quel protocole nous interagissons et aux autorisations accordées aux smart contracts.
Ensuite, comme précisé précédemment, Ledger Recover est facultatif, ce qui signifie que pour les personnes n’étant pas intéressées, cela ne change rien.
Comme l’a clarifié Charles Guillemet, directeur de la technologie (CTO) de Ledger, malgré la nouvelle mise à jour, l’activation du service ne se fait que par le consentement explicite de l’utilisateur. Ainsi, quelqu’un ne souhaitant pas l’utiliser n’a donc pas de vérification d’identité à effectuer :
After consenting to this, and verifying your identity on your device, the OS will compute a (2 out of 3) SSS of your seed and encrypt them with a symmetric key.
— Charles Guillemet (@P3b7_) May 16, 2023
Du côté d’une éventuelle saisie judiciaire, le CTO de l’entreprise est également revenu sur ce point lors d’un live Twitch chez CryptoMatrix. Si la justice française demande quoique ce soit à Ledger, elle a l’obligation légale de coopérer. C’est aussi valable pour n’importe quelle entreprise basée en France.
En revanche, la justice ne pourrait rien faire avec un seul fragment, même si elle parvenait à le déchiffrer d’une manière ou d’une autre. Dans cette optique, les deux autres partenaires de Ledger sont situés chacun dans deux juridictions différentes.
D’autre part, notons que le choix de séparer cette clé privée en 3 n’est pas anodin. En fait, deux fragments sont nécessaires pour restaurer le wallet, mais 3 acteurs sont dans la boucle dans l’éventualité de la faillite de l’un d’eux.
Imaginons que la clé privée soit composée de 3 couleurs, l’illustration ci-dessous permet de comprendre comment celle-ci peut être reconstituée à partir de 2 fragments seulement :
Exemple d’une fragmentation permettant d’être complétée par 2 éléments sur 3
Bien entendu, le mécanisme est bien plus complexe dans la réalité, tout est chiffré sur l’appareil, avant d’envoyer cela aux tiers via des canaux chiffrés eux aussi. Par ailleurs, les tiers n’ont pas connaissance de la partie de la clé privée qu’ils possèdent, et le déchiffrement de ces données ne peut se faire que grâce à la vérification d’identité.
? Limitez le risque de hack au travers de 7 bonnes pratiques
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Un vecteur de démocratisation
Ainsi, il faut voir ce nouveau service du point de vue de l’adoption de masse. Les personnes étant déjà à l’aise avec la responsabilité qu’implique une seed phrase ne seront probablement pas intéressées par Ledger Recover. En revanche, pour quelqu’un peu à l’aise avec cela, c’est une véritable valeur ajoutée en matière d’autogarde.
Pour quelqu’un voyageant souvent et souhaitant avoir un wallet « flexible », avec des fonds qu’il veut pouvoir bouger rapidement, c’est également une solution bien plus viable qu’un hot wallet, sans avoir à transporter sa seed phrase en cas de problème.
Bien entendu, comme pour n’importe quelle autre technologie de stockage de cryptomonnaies, il pourra toutefois être judicieux de ne pas tout miser dessus. Nous pourrions par exemple imaginer un scénario extrême d’extorsion où un agresseur forcerait à utiliser la fonctionnalité. Mais pour sécuriser une partie des fonds, c’est un compromis tout à fait viable à considérer dans sa stratégie, et il appartiendra à chacun de l’adopter ou non.
? Dans l’actualité également — Jump Trading a généré 1,28 milliard de dollars de bénéfices suite à un accord secret avec Terra (LUNA)
Cryptoast Academy : Ne gâchez pas ce bull run, entourez vous d'expertsSource : Ledger, CryptoMatrix
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
La polémique c'est que finalement Ledger à accés à nos seed en permanence via cette mise à jour (ou pas...) et comme on le dit si souvent dans la crypto : pas ta seed, pas tes fonds...
Ce n'est pas pour rien que nous avons fui les CEX pour des ColdWallet.
Je suis peut etre naif mais je pensais vraiment que j'étais le seul possesseur de ma seed en prenant une Ledger et que même eux n'y avait pas accés, visiblement je me suis trompé.
Vous n'avez absolument pas traité le sujet de la polémique.
Désolé, mais il est totalement faux de dire que le clé privée est "exposée" a internet et ce quelques soit le wallet utilisé.
Dans le cas de ledger, la clé privée ne sort jamais du ledger.
Et même avec metamask ou trustwallet, la clé est utilisée lors de la signature de la transaction, mais n'est jamais exposée en dehors de la mémoire ram et du cpu qui signe la transaction.
Et au final c'est la signature de la transaction qui est exposée mais jamais la clé privée en elle même !!