Suche
Mein Konto
Ledger répond aux craintes des clients concernant la sécurité du portefeuille mais supprime les tweets « déroutants »
Les discussions en ligne continuent de tourner autour de la nouvelle mise à jour du micrologiciel de Ledger pour son portefeuille matériel cryptographique, qui, selon les experts, pourrait mettre en danger les clés privées des utilisateurs. Ledger a publié mercredi un fil de discussion sur Twitter tentant de répondre aux préoccupations concernant la sécurité des actifs des utilisateurs, mais a publié un tweet contradictoire et déroutant qui a encore alimenté la controverse. Le tweet inquiétant de Ledger Dans un tweet désormais supprimé, le support de Ledger a reconnu les critiques de mercredi et a révélé une réalité problématique concernant l'utilisation de son produit : le fabricant pourrait techniquement publier un firmware qui extrait les clés privées des utilisateurs de leur portefeuille. « Que vous le saviez ou…
Ledger répond aux craintes des clients concernant la sécurité du portefeuille mais supprime les tweets « déroutants »
Les discussions en ligne continuent de tourner autour de la nouvelle mise à jour du micrologiciel de Ledger pour son portefeuille matériel cryptographique, qui, selon les experts, pourrait mettre en danger les clés privées des utilisateurs.
Ledger a publié mercredi un fil de discussion sur Twitter tentant de répondre aux préoccupations concernant la sécurité des actifs des utilisateurs, mais a publié un tweet contradictoire et déroutant qui a encore alimenté la controverse.
Le tweet inquiétant de Ledger
Dans un tweet désormais supprimé, Ledger Support a reconnu les critiques de mercredi et a révélé une réalité problématique concernant l'utilisation de son produit : le fabricant pourrait techniquement publier un firmware qui extrait les clés privées des utilisateurs de leur portefeuille.
"Que vous le sachiez ou non, vous avez toujours fait confiance à Ledger pour ne pas fournir un tel firmware", a écrit la société.
Tweet supprimé de Ledger. 17/05/23
Cela contredit une affirmation de l'entreprise Compte principalen novembre dernier, dans lequel Ledger affirmait que les clés privées des utilisateurs ne pouvaient pas être extraites de la puce Secure Element d'un portefeuille via une mise à jour du micrologiciel.
À l’époque, Ledger et d’autres fabricants de portefeuilles avaient enregistré des ventes record après l’effondrement de FTX, alors que les investisseurs en crypto recherchaient la sécurité de l’auto-garde et du stockage frigorifique de leurs actifs cryptographiques.
Jeudi, Ledger appeléqu'il avait décidé de supprimer son tweet de mercredi en raison de sa « formulation déroutante ». Cependant, Charles Guillemet, directeur technique de Ledger, a publié un fil de discussion expliquant que les portefeuilles en général disposent de « de nombreuses façons » de mettre en œuvre une porte dérobée et qu'un certain niveau de confiance est requis pour tout achat de portefeuille tiers.
22/
Si vous voulez être totalement digne de confiance, vous devez apprendre l'électronique pour construire votre ordinateur, apprendre l'ASM pour construire votre compilateur, puis créer une pile de portefeuille, votre propre nœud et synchroniseur, vous devez apprendre la cryptographie pour créer votre propre pile de signatures.
-Charles Guillemet (@P3b7_) 18 mai 2023
"L'Open Source ne résout pas vraiment ce problème", a-t-il ajouté. "Il n'y a aucune garantie que les composants électroniques eux-mêmes ne soient pas détournés ou que le micrologiciel exécuté dans le portefeuille soit celui que vous avez testé."
Récupération du grand livre
Les critiques à l'égard de Ledger se sont intensifiées mercredi après que la société a annoncé son nouveau service de portefeuille matériel, « Ledger Recover ». Avec l'autorisation de l'utilisateur, le service divise les clés privées d'un portefeuille en trois fragments, les crypte et les stocke chez trois fournisseurs centraux distincts, dont Ledger.
Le service d'abonnement oblige les utilisateurs à fournir des informations d'identification personnelle avant utilisation. En retour, les utilisateurs ont la possibilité de récupérer leurs clés privées au cas où ils perdraient à la fois leur périphérique matériel et leur sauvegarde papier de phrase de départ.
La communauté cryptographique a critiqué le service et la mise à jour du micrologiciel associée car il a ajouté un chemin de code permettant d'envoyer des clés privées à des tiers. De nombreux experts, y compris les développeurs et les critiques de « foobar », ont recommandé aux abonnés de cesser d’utiliser les appareils de l’entreprise.
Si vous disposez d’un grand livre, vos clés ne courent aucun risque (encore). Cependant, lorsque vous mettez à jour vers le dernier firmware, celui-ci reste bloqué dans un chemin de code qui peut envoyer votre clé privée à des tiers. Étant donné que Ledger a l'habitude de torturer ses propres clients, il est peu probable qu'ils gardent ces informations en sécurité.
– foobar (@0xfoobar) 16 mai 2023
.