Le fournisseur de hardware wallet Trezor a corrigé une faille de sécurité dans deux de ses derniers modèles après que l'équipe de recherche open-source de son concurrent Ledger a découvert une vulnérabilité dans leurs microcontrôleurs.

Ledger Donjon a reconnu que Trezor avait récemment amélioré sa sécurité, mais a constaté que des opérations cryptographiques pouvaient encore être effectuées sur le microcontrôleur du modèle Safe 3 de Trezor, ce qui pourrait les rendre « vulnérables à des attaques plus avancées ».

Heureusement, Trezor a depuis corrigé les vulnérabilités identifiées, a déclaré Charles Guillemet, directeur de la technologie de Ledger, dans un post sur X, le 12 mars.

« Nous pensons que rendre l'écosystème plus sécurisé profite à tout le monde et est essentiel pour favoriser l'adoption massive des actifs crypto », a ajouté Guillemet.

Source: Charles Guillemet

Trezor avait déjà intégré des « Secure Elements » — des puces conçues pour protéger le code PIN et les secrets cryptographiques de l'utilisateur — car certains appareils Trezor pouvaient être compromis en modifiant le logiciel qui y fonctionne, permettant potentiellement aux attaquants de voler les fonds des utilisateurs.

La fonction Secure Elements « contrecarre efficacement toute attaque matérielle peu coûteuse, en particulier les attaques par glitching de tension », a déclaré Ledger dans un message publié le 12 mars.

« Cela donne aux utilisateurs la confiance que leurs fonds sont en sécurité même si leur appareil est égaré ou volé. »

Cependant, Ledger a découvert un autre vecteur d'attaque potentiel provenant du microcontrôleur, l'autre composant principal de la conception à deux puces des modèles Safe 3 et 5 de Trezor.

Trezor avait mis en place une vérification de l'intégrité du firmware pour détecter toute modification logicielle, mais Ledger a démontré qu'un attaquant pouvait encore contourner ce contrôle de sécurité.

Ce problème a depuis été corrigé par Trezor, bien qu'aucune des deux entreprises n'ait expliqué comment. Cointelegraph a contacté Trezor, mais n'a pas reçu de réponse immédiate.

Microcontrôleur de Trezor dans le modèle Trezor Safe 3. Source: Ledger

Bien que les chercheurs de Ledger aient identifié ces vulnérabilités de sécurité, un porte-parole de Trezor a déclaré à Cointelegraph qu'ils n'avaient pas réussi à extraire les clés privées ou les codes PIN des appareils de test de Trezor.

Trezor a également confirmé sur X que les fonds des utilisateurs restaient sécurisés et qu'aucune action n'était requise.

Cependant, lorsque le fournisseur de hardware wallet a été interrogé sur la possibilité de corriger ce problème via le firmware, il a répondu : « Malheureusement non. »

« En cybersécurité, la règle d'or est simple : rien n'est totalement inviolable. C'est pourquoi nous avons déjà mis en œuvre une défense multicouche contre les attaques de la chaîne d'approvisionnement et nous conseillons toujours à nos utilisateurs d'acheter auprès de sources officielles. »

Ledger n'est pas non plus à l'abri des failles de sécurité.

En décembre 2023, un pirate a commis une violation de sécurité dans la bibliothèque de connecteurs de Ledger et a volé pour 484 000 dollars d'actifs crypto.

Un autre attaquant ayant compromis les systèmes de Ledger a publié les adresses postales d'environ 270 000 clients de Ledger en juin 2020.