Trezor a résolu une faille de sécurité dans ses portefeuilles matériels Safe 3 et Safe 5 à la suite d’une divulgation par son rival Ledger, qui a découvert un moyen de contourner certaines des contre-mesures existantes de Trezor contre les attaques de la chaîne d’approvisionnement.
Trezor réagit aux conclusions de Ledger en matière de sécurité
Le fournisseur de portefeuilles matériels Trezor a corrigé une vulnérabilité dans ses modèles Safe 3 et Safe 5 après qu’un examen de sécurité par l’équipe Donjon de Ledger ait révélé des faiblesses potentielles dans l’architecture à deux puces des appareils. La faille, décrite comme une menace « théorique », ne pourrait être exploitée que par le biais d’attaques physiques complexes de la chaîne d’approvisionnement, affectant très probablement des appareils d’occasion ou de troisième main.
La vulnérabilité a été révélée après que Ledger a partagé ses conclusions avec Trezor, ce qui a incité ce dernier à le divulguer publiquement le 5 mars
Trezor a déclaré le X.com :
« Ledger Donjon a récemment évalué notre Trezor Safe Family et a réutilisé avec succès une attaque déjà connue pour démontrer comment certaines contre-mesures contre les attaques de la chaîne d’approvisionnement dans Trezor Safe 3 peuvent être contournées. »
Contourner les protections de la chaîne d’approvisionnement
Selon le rapport du 12 mars de Ledger, son équipe de recherche en sécurité Donjon a réussi à réutiliser une méthode d’attaque physique connue pour démontrer comment les opérations cryptographiques sur le microcontrôleur des modèles Safe 3 et 5 de Trezor pouvaient encore être exécutées, malgré les mesures de protection existantes. Le microcontrôleur, qui fonctionne en tandem avec une puce à élément sécurisé dans la conception à deux puces de Trezor, a été identifié comme un nouveau vecteur d’attaque potentiel.
Alors que Trezor avait mis en place des contrôles d’intégrité du micrologiciel pour détecter les logiciels falsifiés, Ledger a démontré que ces mesures de protection pouvaient être contournées dans des conditions spécifiques. Cela indiquait que même avec des puces d’éléments sécurisés conçues pour bloquer les attaques à faible coût telles que les problèmes de tension, un attaquant expérimenté pourrait potentiellement compromettre l’appareil en ciblant le microcontrôleur.
Les problèmes de Trezor résolvent et rassurent les utilisateurs
À la suite de son examen interne des conclusions de Ledger, Trezor a confirmé qu’elle avait pris des mesures pour atténuer la vulnérabilité. La société a souligné que l’exploit ne présentait pas de risque immédiat pour les utilisateurs et qu’aucune action n’était requise de leur part. Il a réitéré que son approche de sécurité à plusieurs niveaux reste efficace pour se défendre contre les menaces de la chaîne d’approvisionnement.
Dans une déclaration sur X, Trezor a reconnu les défis inhérents à la cybersécurité et a noté que bien que des correctifs de micrologiciel aient été publiés, les mises à jour logicielles ne peuvent à elles seules éliminer tous les risques. La société a conseillé aux utilisateurs de n’acheter des appareils qu’auprès de détaillants agréés afin de minimiser l’exposition à la falsification de la chaîne d’approvisionnement.
Collaboration de l’industrie sur les normes de sécurité
Le directeur de la technologie de Ledger, Charles Guillemet, a fait l’éloge de la réponse rapide de Trezor, déclarant :
« Il est essentiel d’améliorer la sécurité globale de l’écosystème alors que nous travaillons à une adoption plus large des cryptomonnaies et des actifs numériques. »
Ces dernières années, Ledger a été confronté à ses propres défis en matière de sécurité. En 2023, un exploit dans la bibliothèque de connecteurs de Ledger a entraîné une perte de 484 000 $ dans les fonds cryptographiques. En 2020, une autre violation a compromis les données personnelles de plus de 270 000 clients.
Avis de non-responsabilité : Cet article est fourni à titre informatif uniquement. Il n’est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Trezor s’efforce de corriger une vulnérabilité signalée par son rival Ledger
Trezor a résolu une faille de sécurité dans ses portefeuilles matériels Safe 3 et Safe 5 à la suite d’une divulgation par son rival Ledger, qui a découvert un moyen de contourner certaines des contre-mesures existantes de Trezor contre les attaques de la chaîne d’approvisionnement.
Trezor réagit aux conclusions de Ledger en matière de sécurité
Le fournisseur de portefeuilles matériels Trezor a corrigé une vulnérabilité dans ses modèles Safe 3 et Safe 5 après qu’un examen de sécurité par l’équipe Donjon de Ledger ait révélé des faiblesses potentielles dans l’architecture à deux puces des appareils. La faille, décrite comme une menace « théorique », ne pourrait être exploitée que par le biais d’attaques physiques complexes de la chaîne d’approvisionnement, affectant très probablement des appareils d’occasion ou de troisième main.
La vulnérabilité a été révélée après que Ledger a partagé ses conclusions avec Trezor, ce qui a incité ce dernier à le divulguer publiquement le 5 mars
Trezor a déclaré le X.com :
« Ledger Donjon a récemment évalué notre Trezor Safe Family et a réutilisé avec succès une attaque déjà connue pour démontrer comment certaines contre-mesures contre les attaques de la chaîne d’approvisionnement dans Trezor Safe 3 peuvent être contournées. »
Contourner les protections de la chaîne d’approvisionnement
Selon le rapport du 12 mars de Ledger, son équipe de recherche en sécurité Donjon a réussi à réutiliser une méthode d’attaque physique connue pour démontrer comment les opérations cryptographiques sur le microcontrôleur des modèles Safe 3 et 5 de Trezor pouvaient encore être exécutées, malgré les mesures de protection existantes. Le microcontrôleur, qui fonctionne en tandem avec une puce à élément sécurisé dans la conception à deux puces de Trezor, a été identifié comme un nouveau vecteur d’attaque potentiel.
Alors que Trezor avait mis en place des contrôles d’intégrité du micrologiciel pour détecter les logiciels falsifiés, Ledger a démontré que ces mesures de protection pouvaient être contournées dans des conditions spécifiques. Cela indiquait que même avec des puces d’éléments sécurisés conçues pour bloquer les attaques à faible coût telles que les problèmes de tension, un attaquant expérimenté pourrait potentiellement compromettre l’appareil en ciblant le microcontrôleur.
Les problèmes de Trezor résolvent et rassurent les utilisateurs
À la suite de son examen interne des conclusions de Ledger, Trezor a confirmé qu’elle avait pris des mesures pour atténuer la vulnérabilité. La société a souligné que l’exploit ne présentait pas de risque immédiat pour les utilisateurs et qu’aucune action n’était requise de leur part. Il a réitéré que son approche de sécurité à plusieurs niveaux reste efficace pour se défendre contre les menaces de la chaîne d’approvisionnement.
Dans une déclaration sur X, Trezor a reconnu les défis inhérents à la cybersécurité et a noté que bien que des correctifs de micrologiciel aient été publiés, les mises à jour logicielles ne peuvent à elles seules éliminer tous les risques. La société a conseillé aux utilisateurs de n’acheter des appareils qu’auprès de détaillants agréés afin de minimiser l’exposition à la falsification de la chaîne d’approvisionnement.
Collaboration de l’industrie sur les normes de sécurité
Le directeur de la technologie de Ledger, Charles Guillemet, a fait l’éloge de la réponse rapide de Trezor, déclarant :
« Il est essentiel d’améliorer la sécurité globale de l’écosystème alors que nous travaillons à une adoption plus large des cryptomonnaies et des actifs numériques. »
Ces dernières années, Ledger a été confronté à ses propres défis en matière de sécurité. En 2023, un exploit dans la bibliothèque de connecteurs de Ledger a entraîné une perte de 484 000 $ dans les fonds cryptographiques. En 2020, une autre violation a compromis les données personnelles de plus de 270 000 clients.
Avis de non-responsabilité : Cet article est fourni à titre informatif uniquement. Il n’est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.