Le 18 mai, le fournisseur de portefeuilles matériels de cryptomonnaie Ledger a clarifié le fonctionnement de son micrologiciel à la suite d'un tweet controversé du 17 mai qui a été supprimé par l'entreprise. Le tweet supprimé, qui, selon Ledger, avait été écrit par un agent du service clientèle, affirmait qu'il était « possible » pour Ledger d'écrire un micrologiciel capable d'extraire les clés privées des utilisateurs.
[1/3] You may have seen a tweet from our Ledger Support account being shared regarding Ledger firmware updates.
— Ledger Support (@Ledger_Support) May 18, 2023
Unfortunately, in our attempt to clarify how Ledger and all wallets work with the firmware, a customer support agent posted a tweet with confusing wording. https://t.co/cL6UrBzxWr
Charles Guillemet, directeur technique de Ledger, a précisé dans un nouveau fil de discussion sur Twitter que le système d'exploitation (OS) du portefeuille exige le consentement de l'utilisateur à chaque fois qu'« une clé privée est touchée par l'OS ». En d'autres termes, le système d'exploitation ne devrait pas être en mesure de copier la clé privée de l'appareil sans le consentement de l'utilisateur - bien que M. Guillemet ait également déclaré que l'utilisation d'un Ledger nécessite « un minimum de confiance ».
Le tweet original du service client de Ledger indiquait : « Techniquement parlant, il est et a toujours été possible d'écrire un micrologiciel qui facilite l'extraction de clés. Vous avez toujours fait confiance à Ledger pour ne pas déployer un tel micrologiciel, que vous le sachiez ou non ».
Ce tweet a déclenché une vive polémique sur Twitter, de nombreux utilisateurs accusant l'entreprise de présenter de manière erronée la sécurité de son portefeuille. Les détracteurs ont partagé un prétendu message de Ledger datant de novembre et indiquant qu'« une mise à jour du micrologiciel ne peut pas extraire les clés privées du Secure Element », ce qui implique que l'entreprise s'est contredite elle-même.
Bien que le tweet supprimé ait alimenté la controverse, l'affaire a éclaté pour la première fois le 16 mai, lorsque l'entreprise a dévoilé un nouveau service "Ledger Recover" qui permet aux utilisateurs de sauvegarder leur phrase de récupération secrète en la divisant en trois parties et en l'envoyant à différents services de conservation de données. Le tweet supprimé était une réponse à la publication de la nouvelle fonctionnalité.
Nov 2022: A firmware update cannot extract the private keys from the Secure Element — Ledger
— olimpio (@OlimpioCrypto) May 17, 2023
May 2023: Technically speaking it is and always has been possible to write firmware that facilitates key extraction — Ledger@Ledger, do you now understand the problem? pic.twitter.com/czG53SuCOu
Le nouveau fil Twitter de Guillemet indique que le firmware, ou système d'exploitation, du portefeuille est « une plateforme ouverte » dans le sens où « n'importe qui peut écrire sa propre application et la charger sur l'appareil ». Avant d'être autorisées sur le logiciel Ledger Manager, les applications sont d'abord évaluées par l'équipe pour s'assurer qu'elles ne sont pas malveillantes et qu'elles ne présentent pas de failles de sécurité.
Selon Ledger, même à la suite de l'approbation d'une application, le système d'exploitation ne lui permet pas d'utiliser la clé privée d'un réseau pour lequel elle n'est pas faite. L'entreprise a cité l'exemple des applications Bitcoin qui ne sont pas autorisées à utiliser les clés privées Ethereum de l'appareil et vice versa pour les applications Ethereum et les clés Bitcoin. En outre, chaque fois qu'une clé privée est utilisée par une application, Ledger indique que le système d'exploitation demande aux utilisateurs de confirmer leur consentement à l'utilisation de la clé. Cela semble impliquer que les applications tierces installées sur Ledger ne devraient pas être en mesure d'utiliser la clé privée d'une personne sans que l'utilisateur ait d'abord consenti à son utilisation.
M. Guillemet a également confirmé que ce système fait partie du système d'exploitation actuel, qui pourrait théoriquement être modifié si Ledger devenait malhonnête ou si un pirate prenait le contrôle des ordinateurs de l'entreprise d'une manière ou d'une autre :
« Si le portefeuille veut mettre en place une porte dérobée, il y a de nombreuses façons de le faire, dans la génération de nombres aléatoires, dans la bibliothèque crypto, dans le matériel lui-même. Il est même possible de créer des signatures de sorte que la clé privée ne puisse être récupérée qu'en surveillant la blockchain. »
À lire également : Une marketplace « de confiance » a vendu de faux portefeuilles Trezor dérobant les cryptomonnaies des utilisateurs
Pourtant, le directeur de la technologie de Ledger a rejeté cette inquiétude en déclarant : « L'utilisation d'un portefeuille nécessite un minimum de confiance. Si votre hypothèse est que le fournisseur de votre portefeuille est le pirate, vous êtes condamné. ». Il a ajouté que le seul moyen pour les utilisateurs de se protéger contre un développeur de portefeuille malhonnête est de construire leur propre ordinateur, compilateur, pile de portefeuille, nœud et synchronisateur, ce qui, selon le dirigeant, est « un voyage de toute une vie ».
Le fournisseur concurrent de portefeuilles matériels GridPlus a proposé d'ouvrir son micrologiciel pour tenter d'attirer les utilisateurs de Ledger. D'un autre côté, M. Guillemet a déclaré que l'ouverture du micrologiciel ne protégerait pas contre un fournisseur de portefeuille malhonnête, car l'utilisateur n'aurait aucun moyen de savoir si le code publié s'exécute réellement sur l'appareil.