Trezor a corrigé une vulnérabilité dans ses portefeuilles matériels Safe 3 et Safe 5 suite à une révélation d’un concurrent, Ledger, qui a découvert un moyen de contourner certaines de ses mesures de sécurité contre les attaques liées à la chaîne d’approvisionnement.
Trezor réagit aux découvertes de sécurité de Ledger
Le fournisseur de portefeuilles matériels Sûr a abordé une vulnérabilité dans ses modèles Safe 3 et Safe 5 après qu’une équipe de sécurité de Ledger, connue sous le nom de Donjon, a mis en évidence de possibles faiblesses dans l’architecture à deux puces de ses appareils. Cette faille, qualifiée de menace « théorique », ne pourrait être exploitée que via des attaques physiques complexes sur la chaîne d’approvisionnement, affectant probablement des dispositifs de deuxième ou troisième main.
La vulnérabilité a été révélée après que Ledger ait partagé ses conclusions avec Trezor, ce qui a conduit à une divulgation publique le 5 mars.
Trezor a déclaré sur x.com,
“Ledger Donjon a récemment évalué notre famille Trezor Safe et a réussi à réutiliser une attaque précédemment connue pour démontrer comment certaines contre-mesures contre les attaques de chaîne d’approvisionnement à Trezor Safe 3 peuvent être contournées.”
Contourner les protections de la chaîne d’approvisionnement
Selon un rapport de Ledger daté du 12 mars, son équipe de recherche sur la sécurité a réussi à réutiliser une méthode d’attaque physique pour montrer que les opérations cryptographiques sur le microcontrôleur des modèles Safe 3 et 5 de Trezor pouvaient toujours être exécutées, malgré les garanties existantes. Le microcontrôleur, qui fonctionne en synergie avec une puce sécurisée dans la conception à deux puces de Trezor, a été identifié comme un nouveau vecteur d’attaque potentiel.
Lire plus
Bien que Trezor ait mis en œuvre des vérifications d’intégrité du micrologiciel pour détecter les logiciels altérés, Ledger a démontré que ces protections pouvaient être contournées dans certaines conditions. Cela a révélé qu’un attaquant qualifié pourrait potentiellement compromettre l’appareil en ciblant le microcontrôleur, même avec des puces sécurisées conçues pour résister à des attaques à faible coût comme le glitting de tension.
Trezor résout le problème et assure ses utilisateurs
À la suite de son examen interne des conclusions de Ledger, Trezor a confirmé qu’il avait mis en place des mesures pour atténuer la vulnérabilité. La société a souligné que l’exploit ne présentait pas de risque immédiat pour les utilisateurs et qu’aucune action n’était nécessaire de leur part. Elle a réaffirmé que sa stratégie de sécurité en couches est toujours efficace pour se défendre contre les menaces de la chaîne d’approvisionnement.
Dans une déclaration sur X, Trezor a reconnu les défis inhérents à la cybersécurité et a précisé que bien que des correctifs de firmware aient été émis, les mises à jour logicielles ne peuvent pas éliminer tous les risques. La société a conseillé aux utilisateurs d’acheter uniquement des appareils directement auprès de détaillants autorisés pour réduire le risque de falsification sur la chaîne d’approvisionnement.
Collaboration de l’industrie sur les normes de sécurité
Charles Guillemet, directeur de la technologie de Ledger, a salué la réponse rapide de Trezor, affirmant,
« L’amélioration de la sécurité globale de l’écosystème est essentielle alors que nous travaillons à favoriser une adoption plus large des actifs crypto et numériques. »
Ledger a également connu ses propres défis en matière de sécurité ces dernières années. En 2023, une vulnérabilité dans sa bibliothèque de connecteurs a causé une perte de 484 000 $ en fonds cryptographiques. Une brèche distincte en 2020 a compromis les données personnelles de plus de 270 000 clients.
Avertissement : Cet article est fourni à des fins d’information uniquement. Il n’est pas proposé ni destiné à être utilisé comme conseils juridiques, fiscaux, d’investissement, financiers ou autres.
Résumé
Trezor a récemment corrigé une faille de sécurité sur ses portefeuilles matériels Safe 3 et Safe 5, suite à des découvertes par Ledger. Bien que la vulnérabilité ne présente pas de risque immédiat pour les utilisateurs, Trezor a mis en œuvre des mesures de sécurité supplémentaires. La société continue de conseiller ses utilisateurs sur l’importance d’acheter des dispositifs à partir de sources fiables pour éviter les risques liés à la chaîne d’approvisionnement.
