Les ventes du portefeuille matériel de crypto-monnaie Trezor ont grimpé en flèche de 900 % après que Ledger a annoncé une fonctionnalité facultative appelée Recover, qui permet à l’entreprise d’accéder aux phrases initiales des utilisateurs. Cependant, la polémique autour de la fonctionnalité était telle que la société a reculé.
Le lancement – et la retraite – ont eu lieu la même semaine qu’une vulnérabilité dans Trezor T a été révélée. Tel que rapporté par CriptoFácil, la société américaine de cybersécurité Unciphered a enregistré une vidéo montrant comment pirater le portefeuille fabriqué par Satoshi Labs. Malgré cela, les recherches de Trezor ont augmenté.
«La communauté crypto a parlé haut et fort de son insistance sur la sécurité inégalée du portefeuille matériel. Et cela s’est traduit par une augmentation extraordinaire de nos ventes la semaine dernière », a déclaré le PDG de Trezor, Matej Zak.
Trezor contre Ledger
La fonctionnalité de récupération a suscité de nombreuses controverses sur le marché des crypto-monnaies. En effet, l’outil en question vise à permettre la récupération des clés privées du portefeuille via un système de sauvegarde qui laisse des fragments de clés stockés chez des tiers.
De plus, le PDG de Ledger, Pascal Gauthier, a admis que les phrases privées des portefeuilles des clients de Ledger utilisant la fonctionnalité pourraient, en théorie, être remises aux gouvernements en cas d’assignation à comparaître.
« La seule préoccupation est vraiment si nous sommes assignés à comparaître par un gouvernement pour récupérer les trois fragments », a-t-il déclaré.
Face aux répercussions négatives, Gauthier a rapporté que Ledger avait renoncé au lancement. Dans une lettre aux utilisateurs, le PDG a déclaré qu’il n’introduirait pas la nouvelle fonctionnalité avant de lui avoir communiqué le code. La retraite fait partie d’une accélération générale de ce que Gauthier a appelé la « feuille de route open source » de l’entreprise.
Pendant ce temps, Trezor a vu la démo Unciphered extraire apparemment la clé privée du portefeuille. La violation s’est produite lors du démontage physique du portefeuille à l’aide d’outils spécialisés.
Trezor a en outre déclaré que la faille en question est similaire au bug RDP (Read Protection Downgrade). Le RDP a été découvert par des chercheurs de Kraken Security Labs et a affecté les portefeuilles Trezor One et Trezor Model T. Autrement dit, la faille n’est pas exactement nouvelle selon Trezor.
« Comme indiqué sur notre blog au début de 2020, les attaques de rétrogradation RDP nécessitent le vol physique d’un appareil et une expertise technologique extrêmement sophistiquée et un équipement de pointe », a déclaré Tomáš Sušánka, CTO de Trezor.