Une vidéo montrant le piratage de la phrase de départ du portefeuille Trezor T est apparue sur YouTube

Une vidéo montrant le piratage de la phrase de départ du portefeuille Trezor T est apparue sur YouTube

hack_c-min

La startup de cybersécurité Unciphered a publié une vidéo sur YouTube démontrant le piratage réussi du populaire portefeuille cryptographique Trezor T de Satoshi Labs.

Les experts de la société ont développé un « exploit interne » qui leur a permis d’extraire le micrologiciel du portefeuille et, à l’aide de GPU spécialisés, a déchiffré la phrase de départ de l’appareil.

« Nous avons environ 10 GPU et après un certain temps, nous avons tiré les clés », a déclaré le co-fondateur de Unciphered, Eric Michaud, dans la vidéo.

La société a noté que les mécanismes de sécurité matérielle du modèle Trezor T peuvent théoriquement être contournés si un pirate a un accès physique au portefeuille. Selon Michaud, afin de corriger cet exploit dans le Trezor T, il sera nécessaire de rappeler tous les appareils sortis.

Auparavant, Unciphered avait fait la démonstration d’un piratage de portefeuille similaire réalisé par la société hongkongaise OneKey.

Trezor a déclaré que la vulnérabilité découverte par les experts est évidemment une attaque RDP (Read Protection Downgrade). Il permet, en agissant sur la puce STM32, d’obtenir une phrase germe pour la récupération, puis de décrypter son code PIN en utilisant la méthode Force brute.

Cette vulnérabilité a été découverte en octobre 2019 par des chercheurs de Kraken Security Labs. Elle a affecté les modèles Trezor T et Trezor One.

Trezor CTO Tomas Sushanka a noté que de telles attaques nécessitent le vol physique de l’appareil, des connaissances technologiques extrêmement rudimentaires et des équipements modernes.

« Même avec ce qui précède, Trezor peut être sécurisé avec une phrase de passe forte, ce qui ajoute une autre couche de sécurité qui rend inutile la rétrogradation de RDP », a-t-il ajouté.

Pour résoudre ce problème, Trezor s’est associé à la société sœur Tropic Square pour développer une puce sécurisée pour les portefeuilles matériels. L’article est actuellement en cours de test.

ForkLog a précédemment signalé que des attaquants avaient volé 30 000 $ en bitcoins via un faux portefeuille matériel.

Abonnez-vous à ForkLog sur les réseaux sociaux

Vous avez trouvé une erreur dans le texte ? Sélectionnez-le et appuyez sur CTRL + ENTRÉE

Newsletters ForkLog : Gardez le doigt sur le pouls de l’industrie du bitcoin !

Voir l’article original sur forklog.com