L'enthousiasme suscité par la reprise est juste - et exagéré

Ce que je ne sais pas ne me dérange pas : le vieil adage est vrai dans le cas de Ledger, un des meilleurs fabricants de portefeuilles matériels. Pendant des années, les passionnés de cryptographie ont acheté les produits de Ledger en pensant que personne ne pourrait jamais en extraire leurs clés privées. Pas même l’État. Un rêve libertaire. L’achèvement de la croyance crypto : pas vos clés, pas vos pièces. Ledger était considéré comme le Fort Knox de cette forme extrême d’auto-garde. Et est devenu traître à certains à l’Espace cette semaine : Parce que cette promesse s’est avérée être une illusion.

Apparemment, il était théoriquement toujours possible pour Ledger d’extraire les clés des utilisateurs. Ils ne le savaient pas jusqu’à récemment. Cela est devenu clair après que l’annonce d’une nouvelle fonctionnalité pour Ledger s’est terminée par une débâcle totale des relations publiques. Le différend qui a éclaté à ce sujet met le doigt sur des plaies ouvertes dans l’industrie et pose des questions clés sur la sécurité, la confiance – et l’avenir de la cryptographie.

Un geste irréfléchi aux conséquences fatales

Avec Ledger Recovery, l’entreprise française a voulu s’armer pour l’avenir, le mainstream. La fonctionnalité a été annoncée la semaine dernière, le mardi 16 mai 2023. L’idée : les utilisateurs peuvent stocker une sauvegarde de leurs clés privées dans le cloud moyennant des frais mensuels de 10 dollars américains. Ils ont besoin de clés privées pour accéder à leurs actifs cryptographiques. Normalement, il est écrit sur un morceau de papier pour une sécurité maximale. La récupération chiffre la sauvegarde et la divise en trois parties, dont l’une est destinée à trois dépositaires différents. Un KYC (Know Your Customer) est également nécessaire. Si vous souhaitez restaurer la clé en cas de perte, vous devez vérifier votre identité avec une carte d’identité et via un appel vidéo. Les fragments de clé eux-mêmes sont stockés sur des portefeuilles matériels par les fournisseurs de services. À première vue : une procédure à toute épreuve.

Cependant, la réaction d’une section vocale de la communauté crypto était différente. « Hautement discutable ! », « Un danger ! », « Risque de sécurité absolu ! » : c’est sur ce ton qu’une pléiade d’influenceurs a alerté sur la fonctionnalité quelques heures après l’annonce, avec parfois des représentations tendancieuses des faits. Peu de temps après, Twitter a de nouveau été plein de messages haineux : des gens réprimandant le fabricant ou publiant des vidéos montrant comment ils détruisent ou brûlent leurs portefeuilles matériels. Le verdict collectif : haute trahison. Avec cette fonctionnalité, Ledger introduit une « porte dérobée » que l’entreprise ou les pirates pourraient utiliser pour obtenir les clés de l’utilisateur. On disait autrefois : « Vos clés ne quittent jamais l’appareil ».

Ce qui a ajouté de l’huile sur le feu, c’est une entrevue que le PDG de Ledger, Pascal Gauthier, a donnée il y a deux jours. Là, il a expliqué: En cas d’assignation à comparaître, Ledger devrait remettre les clés cryptées au gouvernement. Mais cela n’affecte que les « criminels » et les « terroristes », pas les « gens normaux ». Une tentative d’apaisement qui a également lamentablement échoué. Certains sont même allés jusqu’à affirmer sur Twitter que Ledger travaille désormais pour la « Fed », la Réserve fédérale. Les Français sont passés dans le camp ennemi.

Cette colère contre Ledger est compréhensible. Le parcours cryptographique de nombreuses personnes est jonché de pertes et de catastrophes. De Mt. Gox à FTX, on leur a dit maintes et maintes fois : « Ne vous inquiétez pas, vos fonds sont en sécurité », et à chaque fois, à la consternation de tous, ils ne l’étaient pas. Par conséquent, certains d’entre eux migrent vers des portefeuilles matériels. L’idée : Vous n’avez plus à faire confiance aux personnes ou aux entreprises, seulement à la technologie : « Code is Law ». Il est impénétrable, fonctionne «sans confiance», sans avoir besoin d’intermédiaires. Cela le rend également complètement résistant à l’intervention du gouvernement. Mais juste : seulement en théorie.

Un ex-PDG et co-fondateur de l’entreprise a précisé sur Reddit : « La dure vérité (…) est la suivante : rien n’a changé. Absolument rien ne s’est passé. Le modèle de sécurité est le même qu’avant que l’existence de Ledger Recover ne soit connue. La société l’a réitéré dans un tweet : « Vous avez toujours fait confiance à Ledger pour ne pas utiliser un tel firmware contre vous, que vous le sachiez ou non. » Et puis la phrase principale tombe : « Il est important de comprendre qu’en fin de compte, toute solution de portefeuille matériel suppose toujours que les utilisateurs font confiance au développeur pour créer et exploiter un appareil sécurisé pour stocker leur richesse. »

Une des raisons à cela : Ledger prend en charge plusieurs blockchains. Tous sauf Bitcoin reçoivent des mises à jour régulières que Ledger doit pousser pour rester conformes. C’est ainsi que Haseeb de crypto VC Dragonfly l’explique dans un tweet : « En principe, toute application de grand livre (pour toute blockchain qui s’exécute dessus) peut extraire vos clés privées. Parce qu’ils doivent souvent dériver une clé pour une autre blockchain qui provient du secret principal de l’appareil. Alors oui, vous faites confiance à Ledger. Cependant, vous n’avez qu’à leur faire confiance une seule fois puisque vous n’avez jamais forcé sont de mettre à jour le firmware. Soit vous acceptez ce modèle de sécurité. Ou vous devez acheter un nouveau registre pour chaque petite mise à jour d’une blockchain. « L’important est que chaque portefeuille matériel fonctionne comme ça. Ledger était terrible à communiquer et les gens devenaient fous. Mais plus j’y réfléchis, plus la raison principale me semble : les gens ne comprenaient tout simplement pas comment ces appareils fonctionnent, moi y compris. »

Hier, j’ai paniqué à propos de la révélation que @Registre pourrait cracher votre clé privée avec une mise à jour du firmware.
Pourtant, j’ai remarqué que les gens les plus intelligents ne paniquaient pas. Qu’est-ce que je manque quelque chose?
J’ai passé la soirée à m’instruire, et maintenant je suis dans le camp « nvm c’est bien ».
— Haseeb ＞|＜ (@hoseeb) 17 mai 2023

L’amère réalisation. Infidélité : n’existe pas. « Les gens qui sont contrariés par ces produits ne voient pas qu’il y a des centaines de millions de personnes qui sauvegardent leur phrase de départ de nombreuses manières très peu sûres », a déclaré le PDG Pascal Gauthier dans un espace Twitter. Et soyons honnêtes : n’a-t-il pas raison ? Selon les chiffres de Techcrunch de 2022, environ cinq millions de personnes utilisent les portefeuilles matériels de Ledger et Trezor, les fournisseurs les plus populaires – avec environ 300 millions d’utilisateurs de crypto (en 2022). Donc, un peu plus d’un pour cent. Le reste : enregistre ses clés dans Google Docs, des documents texte, dans le meilleur des cas, peut-être : sur papier. Plus de 30% des bitcoins extraits ont déjà été perdus car les propriétaires ont perdu leurs clés privées. Cela ne serait pas arrivé avec la récupération.

La récupération du registre ne change rien

« Si votre seule action est de sauter dans le train de la haine et de crier » il y a une porte dérobée « quand vous ne comprenez pas ce que vous dites, alors d’accord, c’est un pays libre, mais à la fin, les vrais seront les victimes des noobs qui paniquent essaient de décharger leurs crypto-monnaies de Ledger, font des erreurs stupides et perdent tout », résume l’ex-PDG et co-fondateur Éric dans son post Reddit.

La plupart des gens craignent davantage de perdre leurs clés privées ou de se faire pirater leurs appareils par leur propre négligence que les décrets gouvernementaux exigeant l’accès à leur portefeuille. Pour 99 % des utilisateurs, la récupération du registre est une meilleure alternative à l’auto-garde. Pour le un pour cent qui crie maintenant si fort, la réalité change : rien vraiment. Ils ont toujours dû faire confiance à Ledger. Et le nouveau service est facultatif.

Le différend sur le grand livre révèle une tension

Mais la débâcle révèle des points de rupture centraux dans l’industrie. D’une part, il remet en question les croyances centrales sur la garde de soi dans sa forme extrême. Jusqu’où vont-ils même si la plupart des portefeuilles matériels fonctionnent vraiment de cette façon ? D’un autre côté, cela montre : L’industrie en 2023 est prise dans une tension constante entre une forte minorité qui ne tolère aucune déviation par rapport à l’orthodoxe et la nécessité de rendre l’écosystème attrayant pour une masse plus large.

Ledger a tiré les premières conclusions du fiasco hier 24 mai 2022 : la reprise est pour l’instant suspendue. L’entreprise souhaite d’abord publier un livre blanc, puis rendre le produit vérifiable et open source le système d’exploitation par petites étapes. En d’autres termes, Ledger essaie désespérément de restaurer la confiance perdue. Vous semblez avoir appris. La question est : cela s’applique-t-il également à l’autre côté ?

Les derniers numéros de BTC-ECHO Magazine

Cela pourrait aussi vous intéresser

Voir l’article original sur www.btc-echo.de

Un geste irréfléchi aux conséquences fatales

La récupération du registre ne change rien

Le différend sur le grand livre révèle une tension

ETF Bitcoin Spot vs ETF Bitcoin Futures : une explication simple

Comment acheter du Bitcoin sur eToro ?

Bitcoin et or : ce qui va ensemble est-il désormais en train de se réunir ?

Chimpzee (CHMPZ) mettra bientôt fin à sa prévente, entrez-y maintenant avant l’inévitable croissance 10x post-cotation – Coincierge.de

La hausse du prix du Bitcoin liquide 272 millions de dollars

Prix ​​Dogecoin de 0,7 $ ? Trader avec analyse haussière

Prix Dogecoin de 0,7 $ ? Trader avec analyse haussière