Ledger présente son nouveau service pour récupérer l’accès à son wallet sans seed phrase

Ledger Recover, un moyen de retrouver l’accès à son wallet sans seed phrase

Si vous avez lu notre précédent interview de Charles Guillemet, vous vous attendiez probablement à cette annonce : Ledger présente un service permettant de retrouver l’accès à son wallet de cryptomonnaies sans sa seed phrase.

Exciting update, Ledger has a new product, Ledger Recover, that’s launching soon: https://t.co/nT1VHnnSYz

?Here’s what Ledger Recover is and what it isn’t, explained by @P3b7_ & in the thread below. pic.twitter.com/RW1w07H6pK

— Ledger (@Ledger) May 16, 2023

La promesse de cette nouveauté, nommée Ledger Recover, est donc de donner l’accès à ses actifs numériques partout et à tout moment. Cela a été rendu possible grâce à un partenariat avec Coincover, qui assurera une sauvegarde de « qualité militaire », ainsi qu’un « fournisseur de services de sauvegarde indépendant ».

Comme le montre cette vidéo de présentation, la clé privée du portefeuille est scindée en 3 parties chiffrées, ne pouvant être déverrouillées que par le biais d’une vérification d’identité qui aura été configurée à la création du wallet :

En premier lieu, ce service sera disponible sur la Ledger Nano X, avant d’être étendu plus tard à la Nano S Plus et au Stax.

Bien entendu, il est important de préciser que cette option n’est en rien obligatoire, l’utilisateur choisit de son propre chef s’il souhaite s’abonner à ce service ou non.

? Pour aller plus loin — Apprenez à configurer votre hardware wallet Ledger

Ledger au cœur d’une polémique

Une telle nouvelle est si contre-intuitive avec le concept de secret et de clé privée qu’elle n’a pas manqué de faire réagir une part de la communauté, sous prétexte que Ledger ou un quelconque autre tiers aurait accès aux clés privées.

Sur Reddit notamment, puis massivement sur Twitter, des utilisateurs se sont inquiétés que cette nouvelle mise à jour permettrait d’exposer la clé privée de son portefeuille à Internet, ce qui le rendrait alors « moins sécurisé qu’un hot wallet ».

Même le concurrent Trezor y est allé de sa petite pique, en tweetant la célèbre phrase « Not your keys, not your coins » :

Not?Your?Keys?Not?Your?Coins

— Trezor (@Trezor) May 16, 2023

Parmi les autres arguments avancés, il y a eu aussi celui de la vie privée, compte tenu de la vérification d’identité nécessaire à la mise en place de ce service. En effet, que se passerait-il si la justice demandait à Ledger ces informations ?

Comment fonctionne réellement Ledger Recover

En réalité, une grande part de ces doutes vient d’une mauvaise compréhension du fonctionnement de Ledger Recover.

En premier lieu, il convient de préciser que pour n’importe quel portefeuille de cryptomonnaie, quel que soit le support ou la manière dont il a été créé, la clé privée est sollicitée lors de chaque interaction avec la blockchain. C’est le fondement même de notre écosystème.

En effet, la validation d’une transaction ne peut se faire qu’avec une attestation délivrée la signature préalable d’une clé privée, et un hardware wallet apportera une couche de sécurité supplémentaire en permettant de déconnecter le tout après utilisation. C’est pourquoi il est primordial de faire attention avec quel protocole nous interagissons et aux autorisations accordées aux smart contracts.

Ensuite, comme précisé précédemment, Ledger Recover est facultatif, ce qui signifie que pour les personnes n’étant pas intéressées, cela ne change rien.

Comme l’a clarifié Charles Guillemet, directeur de la technologie (CTO) de Ledger, malgré la nouvelle mise à jour, l’activation du service ne se fait que par le consentement explicite de l’utilisateur. Ainsi, quelqu’un ne souhaitant pas l’utiliser n’a donc pas de vérification d’identité à effectuer :

After consenting to this, and verifying your identity on your device, the OS will compute a (2 out of 3) SSS of your seed and encrypt them with a symmetric key.

— Charles Guillemet (@P3b7_) May 16, 2023

Du côté d’une éventuelle saisie judiciaire, le CTO de l’entreprise est également revenu sur ce point lors d’un live Twitch chez CryptoMatrix. Si la justice française demande quoique ce soit à Ledger, elle a l’obligation légale de coopérer. C’est aussi valable pour n’importe quelle entreprise basée en France.

En revanche, la justice ne pourrait rien faire avec un seul fragment, même si elle parvenait à le déchiffrer d’une manière ou d’une autre. Dans cette optique, les deux autres partenaires de Ledger sont situés chacun dans deux juridictions différentes.

D’autre part, notons que le choix de séparer cette clé privée en 3 n’est pas anodin. En fait, deux fragments sont nécessaires pour restaurer le wallet, mais 3 acteurs sont dans la boucle dans l’éventualité de la faillite de l’un d’eux.

Imaginons que la clé privée soit composée de 3 couleurs, l’illustration ci-dessous permet de comprendre comment celle-ci peut être reconstituée à partir de 2 fragments seulement :

Exemple d’une fragmentation permettant d’être complétée par 2 éléments sur 3

Bien entendu, le mécanisme est bien plus complexe dans la réalité, tout est chiffré sur l’appareil, avant d’envoyer cela aux tiers via des canaux chiffrés eux aussi. Par ailleurs, les tiers n’ont pas connaissance de la partie de la clé privée qu’ils possèdent, et le déchiffrement de ces données ne peut se faire que grâce à la vérification d’identité.

? Limitez le risque de hack au travers de 7 bonnes pratiques

Un vecteur de démocratisation

Ainsi, il faut voir ce nouveau service du point de vue de l’adoption de masse. Les personnes étant déjà à l’aise avec la responsabilité qu’implique une seed phrase ne seront probablement pas intéressées par Ledger Recover. En revanche, pour quelqu’un peu à l’aise avec cela, c’est une véritable valeur ajoutée en matière d’autogarde.

Pour quelqu’un voyageant souvent et souhaitant avoir un wallet « flexible », avec des fonds qu’il veut pouvoir bouger rapidement, c’est également une solution bien plus viable qu’un hot wallet, sans avoir à transporter sa seed phrase en cas de problème.

Bien entendu, comme pour n’importe quelle autre technologie de stockage de cryptomonnaies, il pourra toutefois être judicieux de ne pas tout miser dessus. Nous pourrions par exemple imaginer un scénario extrême d’extorsion où un agresseur forcerait à utiliser la fonctionnalité. Mais pour sécuriser une partie des fonds, c’est un compromis tout à fait viable à considérer dans sa stratégie, et il appartiendra à chacun de l’adopter ou non.

? Dans l’actualité également — Jump Trading a généré 1,28 milliard de dollars de bénéfices suite à un accord secret avec Terra (LUNA)

Source : Ledger, CryptoMatrix

Je découvre timidement le monde de la blockchain fin 2018 lors de ma quête de liberté financière. D'abord investi modérément, ce n'est que deux ans plus tard que je prends le pari de tout miser sur le mouvement qui se dessine alors. Je consacre ensuite 2021 à mieux me former pour acquérir plus de connaissances et de sérieux. Comme j'aime souvent le dire : j'ai encore un milliard de choses à apprendre. Et ce que je sais, je souhaite le partager avec vous.

Vincent Maire

1164 articles

Tous ses articles