Le mois dernier, le fabricant de portefeuilles crypto Ledger a annoncé son programme Ledger Recover, conçu pour permettre aux clients de sauvegarder leurs phrases de démarrage dans le cloud et de les relier à leur identité dans le monde réel.
Cette annonce a suscité de vives réactions de la part de la communauté crypto, car beaucoup considèrent qu'elle va à l'encontre des idéaux de la sécurité de la blockchain et du mantra vieux de dix ans qui veut que l'on se réserve la garde de ses propres clés.
Ledger a réagi rapidement, assurant à ses clients que leurs phrases de démarrage étaient en sécurité et que le programme Ledger Recover était facultatif. Mais toute cette saga a suscité une demande croissante de portefeuilles matériels open-source, qui pourraient permettre à la communauté d'exclure toute porte dérobée matérielle ou logicielle.
Une semaine plus tard, Ledger a annoncé l'accélération de sa feuille de route en matière de logiciels open-source. Mais que représente un portefeuille matériel open-source ? Quels en sont les avantages ? Et surtout, sont-ils réellement plus sûrs que leurs homologues à code source fermé ?
Ce que votre portefeuille matériel n'est pas
Tout d'abord, il convient de dissiper certaines idées fausses concernant les portefeuilles matériels.
Beaucoup de gens pensent que les portefeuilles matériels sont utilisés pour stocker des cryptomonnaies, mais en réalité, ils sont utilisés pour stocker vos clés privées. Toutes les cryptomonnaies existent sur la blockchain, et vos clés privées prouvent que vous possédez vos tokens. C'est pourquoi il est important que votre clé privée reste privée.
Votre téléphone de secours n'est pas un portefeuille matériel.
La fabrication d'un portefeuille matériel est compliquée, et ce pour de bonnes raisons. Les gens utilisent ces appareils pour sécuriser des actifs numériques d'une valeur de plusieurs millions de dollars, et il est essentiel de garantir l'intégrité des fonds des clients pour créer et maintenir une marque de portefeuille matériel prospère.
C'est pourquoi les différents composants des portefeuilles matériels sont généralement exclusifs, ce qui signifie qu'il n'est pas possible de les acheter ou de les inspecter en dehors de l'achat d'un appareil et de son démontage. Certains portefeuilles sont même dotés d'une protection intégrée contre les manipulations pour éviter cela. Les téléphones utilisent des pièces beaucoup plus accessibles, ce qui permet à un pirate de les étudier et de les briser beaucoup plus facilement.
Les portefeuilles matériels ne sont pas sûrs à 100 %.
Aucun appareil ou logiciel n'est totalement invulnérable aux attaques. Une interaction accidentelle avec un smart contract malveillant peut être catastrophique, et même le portefeuille le plus sécurisé ne peut pas vous protéger contre les attaques de type "rug pulls" ou "phishing". Les portefeuilles matériels ne sont pas des coffres-forts bancaires numériques - ils sont plutôt comme les clés d'un coffre-fort public sécurisé. Il s'agit d'un outil qui vous permet de stocker et d'accéder à vos actifs en toute sécurité et qui n'est jamais aussi sûr que vous l'êtes.
Le passage à l'open-source sera-t-il utile ?
Si les portefeuilles étaient construits avec un code source accessible au public, des audits individuels de masse pourraient empêcher les acteurs malveillants d'arriver à leurs fins - c'est du moins ce que l'on prétend. Mais la fabrication de portefeuilles matériels exige beaucoup plus de confiance qu'on ne le pense, et pas seulement de la part du fabricant.
D'autres entreprises de la chaîne d'approvisionnement ont des possibilités raisonnables d'insérer leurs propres portes dérobées, et ces appareils ont des chaînes d'approvisionnement complexes. La plupart des fabricants de portefeuilles matériels s'appuient sur des fabricants sous contrat, qui ont tendance à s'appuyer sur des chaînes d'approvisionnement originaires de Chine.
Un autre avantage supposé des portefeuilles matériels open-source est une plus grande compatibilité et une plus grande implication de la communauté dans le développement. Toutefois, en rendant le code accessible au public, il est plus facile pour les pirates d'y trouver des vulnérabilités. Et comme le portefeuille serait fabriqué à partir de composants accessibles au public, il serait plus facile pour les escrocs de créer de faux portefeuilles permettant de voler vos fonds.
Nicolas Bacca, cofondateur et vice-président de la division Innovation Lab de Ledger, a déclaré à Cointelegraph que le plus grand défi auquel sont confrontés les portefeuilles matériels open-source est de créer un moyen pour les utilisateurs de vérifier facilement si leur appareil est authentique avec des garanties solides. La plupart des fabricants réputés vous permettent de vérifier le numéro de série de l'appareil sur leur site web afin de confirmer sa légitimité. Feriez-vous confiance à toutes les entreprises de la chaîne d'approvisionnement d'un portefeuille de matériel open-source ?
« Il est important de se rappeler qu'un portefeuille matériel open-source s'appuiera presque toujours sur des composants à code source fermé. », a déclaré M. Bacca. « Le seul moyen de connaître son degré de sécurité est d'essayer de le casser et de faire de l'ingénierie inverse. ». Avec les portefeuilles à code source fermé, ce n'est pas possible.
« Jusqu'à présent, aucun portefeuille n'a jamais publié de micrologiciel avec une porte dérobée prouvée. Si le micrologiciel est public, il est examiné à la loupe dans le monde entier. Dans les portefeuilles à code source fermé, cela n'est jamais possible. », a déclaré à Cointelegraph Vipul Saini, cofondateur et directeur de la technologie de la société Cypherock, spécialisée dans les portefeuilles matériels.
Il estime que les opérations impliquant la génération et l'utilisation de clés privées devraient être rendues open-source. « C'est là que les principales portes dérobées, comme les attaques kleptographiques et les nombres aléatoires prédictifs, peuvent être facilement mises en place. », a-t-il déclaré.
En avril 2022, un pirate informatique de l'équipe de sécurité de Ledger a découvert une vulnérabilité similaire à une porte dérobée dans la génération initiale de Trust Wallet, un portefeuille logiciel libre appartenant à Binance. Avec des puces prêtes à l'emploi, n'importe quel acteur de la chaîne d'approvisionnement pourrait modifier le code qui charge le chargeur de démarrage, un élément essentiel pour s'assurer que le client reçoit un appareil doté d'un micrologiciel authentique.
Les auditeurs de code ne s'en apercevraient pas puisque la porte dérobée pourrait être insérée pendant que le code est chargé sur l'appareil.
« Compte tenu de cette limitation, il n'est pas possible de construire une chaîne de confiance solide pour les portefeuilles matériels open-source, ce qui limite considérablement leur distribution et leur utilisation en toute sécurité par le plus grand nombre d'utilisateurs. », a-t-il ajouté. Le paradigme « plusieurs yeux » ne fonctionne pas vraiment pour les codes de sécurité, le meilleur exemple étant le piratage de Heartbleed OpenSSL.
Les portefeuilles open-source sont-ils l'avenir ?
Alors que les exchanges centralisés poursuivent leurs efforts pour rétablir la confiance avec la communauté crypto, les gens sont plus que jamais encouragés à stocker leurs actifs dans des portefeuilles matériels. Si le mouvement open-source gagne du terrain, il est essentiel de pouvoir vérifier que votre appareil n'a pas été altéré, ce qui n'est pas facile sans intermédiaire.
Une solution consiste à encourager les producteurs de portefeuilles matériel open-source à se conformer aux critères de l'Open Source Hardware Association (OSHWA) et à obtenir la licence "Open Hardware" du CERN. Mais comme l'ont montré des exemples tels que la crise financière mondiale de 2008, les licences et les certifications ne peuvent offrir qu'une certaine garantie.
« L'OSHWA aide à fournir des labels appropriés, à définir et à certifier ce qui est du matériel open-source. », a déclaré M. Bacca, précisant que cela n'aide pas à se prémunir contre les attaques, mais que c'est utile pour éviter les allégations marketing douteuses. M. Bacca a également mentionné quelques fournisseurs existants qui prétendent être open-source sans disposer d'une licence open-source, ou avec un code propriétaire mélangé à leur programme open-source.
À lire également : Comment la sécurité, l'éducation et la réglementation peuvent-elles atténuer l'augmentation des escroqueries crypto ?
Il est important de se pencher sur les limites des organismes de certification, qu'il s'agisse de structures incitatives peu claires ou de tests limités à des circonstances prédéfinies. Le mouvement pourrait également conduire à une ruée d'entreprises capitalisant sur le mot à la mode open-source, cachant leurs éléments exclusifs derrière des certifications de qualité inférieure.
Les fabricants de systèmes fermés utilisent des puces privées pour mettre en œuvre de solides garanties de confiance à la base, mais qu'emploierait un portefeuille purement open-source ? La réalité du marché est que les évaluations de sécurité sont plus nuancées qu'une simple dichotomie entre code à accès libre et code à accès fermé.
En fin de compte, les consommateurs veulent l'option la plus sûre qui exige qu'ils fassent confiance au plus petit nombre de personnes.