Des experts en crypto-monnaie ont piraté un portefeuille matériel Trezor. Qu’est-ce que cela signifie pour les utilisateurs d’appareils ?

Des experts en crypto-monnaie ont piraté un portefeuille matériel Trezor.  Qu’est-ce que cela signifie pour les utilisateurs d’appareils ?

La société Ledger a été sous les projecteurs des fans de crypto-monnaie au cours des deux dernières semaines. Pourtant, plus tôt, le plus grand fabricant de portefeuilles matériels au monde a lancé la fonction de restauration de la phrase de départ de l’appareil à l’aide de documents, ce qui a sérieusement effrayé les utilisateurs expérimentés. En conséquence, ils ont décidé de reporter la sortie, de plus, le code de service sera publié pour tout le monde. Maintenant, les utilisateurs du portefeuille Trezor Model T sont attaqués. Unciphered, une entreprise spécialisée dans la cybersécurité et la récupération de pièces perdues, a trouvé une vulnérabilité dans le portefeuille susmentionné et l’a piratée. Parlons de la situation plus en détail.

Notez que le récent scandale du portefeuille matériel Ledger a forcé de nombreux passionnés de crypto-monnaie à rechercher des alternatives. Et puisque Trezor est open source, certaines personnes ont opté pour cela.

Hélas, comme le montre la situation actuelle, Trezor a également suffisamment de problèmes.

Comment le portefeuille Trezor a été piraté

Dans une interview avec CoinDesk, des représentants de Unciphered ont annoncé une faille pour le piratage de Trezor T. Il est important de noter que pour cela, le portefeuille doit être entre les mains d’un attaquant potentiel – et cela n’arrive pas si souvent. En général, les experts ont rapporté à propos « d’une vulnérabilité matérielle dans la puce STM32 qui permet d’accéder à la mémoire flash de l’appareil ».

L’équipe Unciphered ne s’est pas limitée à des termes techniques complexes : elle a filmé une vidéo de piratage d’un portefeuille crypto que des journalistes leur ont envoyé pour des expérimentations. Au cours d’une série de manipulations, les experts ont réussi à accéder au code PIN et à la phrase de départ de l’appareil. Ces combinaisons sont affichées à la fin de la vidéo, nous vous recommandons donc de vous familiariser avec l’ensemble du processus.

Un représentant de Trezor a noté que tous les détails de l’attaque ne sont pas encore connus du fabricant du portefeuille, mais la vulnérabilité trouvée est similaire à l’attaque dite de Read Protection Downgrade (RDP). Des informations à ce sujet ont été publiées sur le blog officiel de Trezor en janvier 2020.

Comment le portefeuille Trezor a été piraté.  Un article sur le blog Trezor concernant les attaques contre les portefeuilles de l'entreprise.  Photo.

Article de blog Trezor concernant les attaques contre les portefeuilles de l’entreprise

Le billet de blog correspondant décrit un vecteur d’attaque RDP qui peut potentiellement être appliqué aux appareils Trezor One et Trezor T. Il a été découvert par l’équipe de cybersécurité de la plateforme de trading Kraken le 30 octobre 2019, ce qui signifie que la direction pour créer des problèmes était connue plus tôt.

L’attaque est considérée comme « physique », c’est-à-dire un attaquant potentiel doit avoir l’appareil de la victime et avoir une connaissance technique assez approfondie avec l’équipement approprié.

L’attaque RDP est décrite dans le blog comme suit.

RDP Downgrade implique une commutation de tension sur la puce STM32. Cela permet à un attaquant disposant d’un équipement spécial, de connaissances et d’un accès physique à l’appareil de contourner la protection du fabricant, et également d’extraire le contenu de la mémoire flash du microcontrôleur. Ainsi, un attaquant peut obtenir une phrase de départ chiffrée de l’appareil.

Напомним, аппаратные кошельки нужны как раз для того, чтобы сид-фраза и связанные с ней приватные ключи никогда не оказывались в интернете и в целом не покидали пределы устройства. Соответственно, нынешняя новость серьёзно бьёт по репутации Trezor. И хотя для взлома действительно требуется наличие устройства вместе с глубоким пониманием особенностей работы девайса, возможность извлечь сид из заблокированного аппаратного кошелька в любом случае разочаровывает.

Dans le même temps, cette attaque n’est possible que lorsque l’appareil n’est pas protégé par une combinaison secrète suffisamment forte. Le blog note que cette couche de protection supplémentaire supprime complètement le risque de toute attaque physique. L’orateur de Trezor a également répété cette déclaration dans une interview avec des journalistes.


Речь идёт о создании отдельного набора кошельков за счёт добавления дополнительной парольной фразы. Иначе говоря, пользователь использует сгенерированные 24 слова сид-фразы и добавляет к ней ещё одно слово, из-за чего устройство создаёт совершенно другие адреса. Соответственно, получить к ним доступ может лишь владелец девайса, который в состоянии ввести дополнительное слово и восстановить доступ к своим монетам.

Cependant, les experts de Unciphered ont noté dans les commentaires sur YouTube qu’ils étaient en mesure de restaurer l’accès à ces portefeuilles. Et dans ce cas, le propriétaire de l’appareil a simplement oublié qu’il avait précédemment défini une phrase secrète.

Comment le portefeuille Trezor a été piraté.  Commentaire d'expert non chiffré sur le piratage d'un portefeuille Trezor avec une phrase de passe.  Photo.

Des experts non chiffrés commentent le piratage du portefeuille Trezor avec une phrase secrète

Cependant, Unciphered n’a ni confirmé ni infirmé l’hypothèse de Trezor concernant le type d’attaque. Ils ont fait référence à un accord de non-divulgation – il est dangereux de divulguer entièrement le vecteur d’attaque dès maintenant, car cela peut nuire aux utilisateurs de portefeuilles cryptographiques. Le risque d’attaque ne peut être complètement réduit que par le remplacement physique de la puce, c’est-à-dire que le fabricant du portefeuille doit introduire une nouvelle base matérielle dans les modèles d’appareils suivants.

Comment le portefeuille Trezor a été piraté.  Statistiques sur les principaux vecteurs d'attaques sur les propriétaires de hardware wallets.  Photo.

Statistiques sur les principaux vecteurs d’attaques sur les propriétaires de hardware wallets

De plus, les experts n’ont pas apprécié les commentaires de réponse des employés de Trezor. Voici leur devis.

Il n’en demeure pas moins qu’avec cet article, ils tentent de faire porter la responsabilité de la sécurité de l’appareil à l’acheteur, au lieu d’être responsable de ce qui se passe et d’admettre que leur appareil est fondamentalement dangereux.

Près de trois ans se sont écoulés depuis la publication d’informations sur RDP, c’est-à-dire que pendant cette période, les employés de Trezor n’ont pas été en mesure de se débarrasser des risques de vulnérabilité. Au lieu de cela, des représentants de l’entreprise ont publié un article de blog, selon lequel l’attaque ne peut pas se produire si le portefeuille ne tombe pas entre les mains d’un pirate informatique. Par conséquent, les propriétaires de portefeuilles matériels n’ont qu’à s’occuper de leurs propres appareils.

Подобная рекомендация звучит логично, однако она не избавляет от рисков потерять свои монеты и токены. Поэтому если владелец аппаратного кошелька Trezor или другого подобного устройства его потеряет, ему нужно срочно восстановить доступ к адресам с помощью сид-фразы через онлайн-кошелёк по типу MetaMask и отправить криптовалюты на биржу. Затем нужно использовать другой аппаратный кошелёк с другой сид-фразой или приобрести новое устройство, настроить его заново и только потом отправлять туда монеты.

Comment le portefeuille Trezor a été piraté.  Portefeuilles Trezor.  Photo.

Portefeuilles Trezor


Мы считаем, что данная ситуация может серьёзно ударить по репутации компании Trezor. Конечно, шансы нарваться на настолько продвинутого хакера и случайно отдать ему свой аппаратный кошелёк в реальной жизни минимальные. Однако комфортно пользоваться устройством, которое публично взламывают, также будет значительно сложнее. Поэтому есть вероятность, что теперь некоторые любители криптовалют будут вновь использовать аппаратные кошельки Ledger, чьи девайсы из-за наличия специального чипа безопасности умеют противостоять данному вектору атаки.

Que pensez-vous de la situation actuelle ? Partagez votre opinion dans notre chat crypto, où nous discutons d’autres événements importants du monde de la blockchain et des actifs décentralisés.

ABONNEZ-VOUS À NOTRE CANAL TÉLÉGRAMME. VOICI PLUS DE NOUVELLES INTÉRESSANTES.

Voir l’article original sur 2bitcoins.ru