- >News
- >Ledger est-il toujours sécurisé ? La récente controverse met en lumière les préoccupations liées à la sécurité des cryptomonnaies
Ledger est-il toujours sécurisé ? La récente controverse met en lumière les préoccupations liées à la sécurité des cryptomonnaies
Depuis longtemps, les cryptomonnaies posent le problème de leur approche intraitable de la sécurité. Certes, vous êtes le seul à pouvoir accéder à vos bitcoins et à les déplacer si vous êtes le seul à détenir la clé privée de votre portefeuille de bitcoins. Toutefois, l’inconvénient à cela est que, si vous perdez vos clés, vous perdez aussi vos BTC. Quelques individus en ont malheureusement fait l’amère expérience au cours de la brève histoire de la cryptomonnaie, et il n’est pas rare d’entendre des histoires de personnes qui essaient désespérément de récupérer des fortunes perdues..
Ledger s’est récemment donné pour mission de venir en aide à ces personnes en annonçant le lancement de Ledger Recover, un service qui permettra aux propriétaires de son portefeuille matériel Ledger Nano X de récupérer la phrase de récupération ou phrase de récupération qui permet de récupérer le portefeuille. En principe, ce service semble opportun et convivial, dans la mesure où il permettrait aux propriétaires de portefeuilles de ne jamais perdre leur cryptomonnaie, même s’ils venaient à égarer la trace physique (ou numérique) de leur phrase de récupération.
Toutefois, l’annonce de Ledger a donné lieu à une réaction rapide d’indignation et de révolte de la part d’une grande partie de la communauté des cryptomonnaies, accusant le fabricant de portefeuilles d’avoir introduit par inadvertance une porte dérobée potentielle dans ses appareils. Bien que Ledger n’ait pas réussi jusqu’à présent à apaiser ces inquiétudes, on peut affirmer à sa décharge qu’un outil comme Recover est nécessaire si le secteur souhaite favoriser une plus grande adoption des cryptomonnaies et une plus grande autodiscipline, qui sont de plus en plus nécessaires face au contexte des piratages et des faillites de plateformes d’échange.
Ledger Recover cristallise les critiques en dépit de son caractère facultatif
En théorie, Ledger Recover est simple à comprendre. En fait, le service divise la phrase de récupération d’un portefeuille en trois fragments cryptés qui seront stockés chez trois fournisseurs distincts (Ledger, Coincover et EscrowTech). De cette manière, le propriétaire du portefeuille pourra accéder à nouveau à sa phrase de récupération au cas où il viendrait à perdre la trace de sa phrase secrète.
La « phrase de récupération » d’un portefeuille de cryptomonnaies se compose d’un ensemble de 12 ou 24 mots générés de manière aléatoire que le propriétaire d’un portefeuille peut utiliser pour récupérer ses clés privées, qui doivent être utilisées pour transférer des fonds à partir du portefeuille. En d’autres termes, si vous perdez les clés privées, vous pouvez utiliser la phrase de récupération pour les récupérer. Avec Recover, l’objectif de Ledger était d’apporter une nouvelle ligne de défense, en mettant à disposition un moyen de restaurer ce dont vous avez besoin pour restaurer les clés.
Comme l’explique Ledger sur son site Web, vous devrez « vérifier votre identité à l’aide de votre carte d’identité » afin de vous inscrire à Recover, avec l’ajout de mesures de connaissance client nécessaires pour s’assurer que c’est bien vous qui utilisez le service, et non un pirate. C’est cette connaissance client qui permet également aux propriétaires de portefeuilles de récupérer les fragments chiffrés de leur phrase secrète de récupération, ces fragments étant inutiles en soi.
Source : Twitter
En outre, Ledger affirme que Recover est un service facultatif, ce qui veut dire que vous n’êtes pas obligé de vous y abonner si vous ne le souhaitez pas. Ces fonctionnalités n’ont pas suffi à empêcher une vague de critiques assez importante, qui était centrée principalement sur la crainte que le service ne devienne un angle d’attaque pour les pirates informatiques.
Par exemple, l’investisseur en cryptomonnaie Ryan Berckmans a écrit sur sa page Twitter :« Ledger firmware v2.2.1 installe Ledger Recover, un service imprudent qui extrait les clés privées de votre portefeuille matériel et les envoie sur Internet. » Ce n’est pas la seule critique essuyée par l’entreprise française Ledger à la suite de son annonce, la conseillère de Web3 Vanessa Harris laissant entendre que le service « ne demande qu’à être exploité. »
Le point essentiel de ces critiques est qu’avec l’arrivée de Ledger Recover, les appareils Ledger seront dotés d’un micrologiciel qui les rendra capables d’envoyer les clés privées d’un portefeuille sur Internet. Certes, pour se défendre, Ledger a affirmé à plusieurs reprises que les utilisateurs doivent s’abonner au service pour pouvoir l’utiliser et que les clés privées ne peuvent être réassemblées sans preuve d’identité. Toutefois, la crainte est que l’inscription de cette fonctionnalité essentielle dans le code des appareils ne permette à des pirates entreprenants de trouver un moyen de l’exploiter.
Trezor fait état d’une hausse des ventes, Ledger retarde son lancement
Dans le sillage de ces craintes, Trezor a fait état d’une augmentation de 900 % des ventes de ses appareils, sans toutefois fournir de véritable ventilation de ce chiffre ou de données à l’appui. Cependant, étant donné que certaines personnes sont allées jusqu’à affirmer que Ledger a « pratiquement terni sa réputation », il est tout à fait plausible que Trezor ait bénéficié d’une sorte d’augmentation des ventes. Cela serait possible malgré le fait que la société de sécurité Unciphered a annoncé, peu après la controverse sur Ledger, qu’elle avait réussi à pirater physiquement le portefeuille matériel Trezor T et que le bug était « irrémédiable au niveau de la puce ».
Face à cette crise, Ledger a, sans surprise, pris des mesures pour répondre aux préoccupations de la communauté. Dans l’immédiat, la société a annoncé dans un article de blog qu’elle retarderait le lancement de Recover et qu’elle rendrait le code de ce dernier open source, afin de permettre aux développeurs et aux membres de la communauté de le tester par eux-mêmes (et de s’assurer éventuellement qu’il est sécurisé).
En outre, elle a publié une FAQ sur Ledger Recover qui répond directement aux diverses questions et demandes formulées par la communauté. Elle affirme notamment que la clé privée de votre appareil n’est accessible « qu’après l’avoir approuvée et confirmée manuellement » sur l’appareil. Elle précise également que le fait de disposer de deux systèmes d’exploitation distincts – l’un étant doté de la fonction de récupération et l’autre non – ne présenterait aucun avantage en termes de sécurité (comme l’ont suggéré certains commentateurs).
Ainsi, le PDG de Ledger, Pascal Gauthier, a reconnu qu’il est théoriquement possible qu’une phrase de récupération garantie par le service Recover puisse être accessible par le biais d’une citation à comparaître du gouvernement, obligeant les trois fournisseurs indépendants du service à communiquer les fragments de la phrase. Cet aveu souligne la réalité inéluctable selon laquelle toute solution de sécurité pose ses propres problèmes, Recover ne faisant pas exception à la règle. En dépit de ses faiblesses éventuelles, certains membres de la communauté ont affirmé, que le service peut être nécessaire pour ceux qui n’ont pas les compétences techniques nécessaires pour stocker eux-mêmes en toute sécurité leurs phrases secrètes de récupération.
En effet, Recover mériterait d’être célébré pour avoir franchi un pas important dans l’accessibilité d’un plus grand nombre de personnes à l’autodétention, quand on sait à quel point la crypto peut se montrer impitoyable dans les cas où vous veniez à perdre vos clés privées. En fait, glassnodes a estimé à environ trois millions de BTC — soit environ 83,46 milliards de dollars — les montants perdus à jamais, soulignant le coût potentiel des pertes dues au système de sécurité ultra-strict du Bitcoin. Quoi qu’il en soit, il ressort qu’un outil comme Recover est absolument nécessaire si l’on veut que davantage d’investisseurs particuliers et institutionnels se lancent dans les cryptomonnaies, et même si Ledger n’a pas encore réglé tous les détails, il a fait un pas dans la bonne direction avec son nouveau service.