Le lancement de Ledger Recover - un nouveau service permettant aux utilisateurs du portefeuille matériel Ledger de sauvegarder leurs phrases secrètes de récupération - a rencontré une immense résistance de la part de la communauté crypto. Éric Larchevêque, cofondateur et ex-PDG de Ledger, a qualifié les critiques à l'encontre de Ledger d'« échec total en matière de relations publiques, mais absolument pas sur le plan technique ».
Ledger Recover est une mise à jour du micrologiciel qui permet aux utilisateurs de sauvegarder leurs phrases de démarrage auprès d'entités tierces. Si un utilisateur opte pour le nouveau service, les fragments de la phrase de démarrage sont cryptés et stockés par trois parties, ce qui permet à l'utilisateur de récupérer la phrase à l'avenir. Cependant, la phrase de démarrage quittant le portefeuille matériel n'a pas trouvé d'écho auprès des utilisateurs qui considéraient Ledger comme un service sans confiance pour le stockage des cryptomonnaies.
Pour répondre aux préoccupations croissantes des utilisateurs du monde entier, Larchevêque a publié un message sur Reddit pour préciser que Ledger n'a jamais été une solution sans confiance :
« Il faut faire confiance à Ledger pour utiliser son produit. Si vous ne faites pas confiance à Ledger, c'est-à-dire que vous traitez le fabricant de votre portefeuille matériel comme un adversaire, cela ne peut pas fonctionner du tout. »
Il a affirmé que la mise à jour de Ledger Recover n'avait pas d'impact sur le modèle de sécurité du portefeuille matériel, ajoutant :
« Mon erreur en tant que PDG pendant mon mandat a probablement été de ne pas être assez acharné à expliquer le modèle de sécurité, mais à un moment donné, vous abandonnez parce que les gens ne s'en soucient pas du tout. Jusqu'à ce qu'ils s'y intéressent à nouveau, comme aujourd'hui. »
M. Larchevêque estime que la seule chose qui a changé est le point de vue de l'utilisateur général sur l'absence de confiance, et que le code Recover dans le micrologiciel n'était pas malveillant :
« Ledger est toujours sûr, il n'y a pas de porte dérobée, le Ledger Recover n'est pas une conspiration, personne ne forcera jamais personne à utiliser Recover. »
Faire confiance à Ledger pour le partage de la phrase de démarrage, c'est comme faire confiance à Ledger pour la signature d'une transaction, a-t-il ajouté. En réponse à la recommandation d'un utilisateur d'avoir deux micrologiciels différents pour éliminer les problèmes de « portes dérobées », M. Larchevêque a déclaré que « cela ne changerait rien » et que ce serait triste pour lui personnellement.
La mise à jour du micrologiciel en question n'est pas disponible pour le Nano S - le portefeuille matériel le moins cher de Ledger - car le chipset n'a pas assez de mémoire pour stocker le nouveau micrologiciel.
À lire également : La communauté crypto se prononce sur le service de récupération de clés privées du portefeuille Ledger
Lors du déploiement de la mise à jour controversée du micrologiciel de Ledger, le fournisseur concurrent de portefeuilles matériels GridPlus a décidé de mettre son micrologiciel en open-source pour ses utilisateurs.
The most trusted name in cryptography, relied upon by the world's governments for their highest security applications for decades, sold products backdoored by the CIA. How can we ensure this won't happen again? Open-source software.
— GridPlus (@gridplus) May 18, 2023
GridPlus will open-source its firmware in Q3. pic.twitter.com/889OnqXd20
Transformant la controverse sur Ledger en opportunité marketing, GridPlus a annoncé son intention d'ouvrir le firmware de ses appareils au troisième trimestre 2023 afin d'offrir une plus grande transparence.