Hardware wallet : Le Safe-T mini d’Archos en pré-commande

3
1230

La société Archos nous informe que le Safe-T mini, premier modèle d’une nouvelle gamme de portefeuilles physiques, est proposé à partir d’aujourd’hui en pré-commande au prix de 49,99€ pour une livraison autour de mi-juillet. Le produit, développé et fabriqué en France, utilise Electrum (et ses dérivés) pour Bitcoin, Bitcoin Cash, Bitcoin Gold, Litecoin et Dash, et MyCrypto pour Ethereum, Ethereum classic et les tokens ERC20. D’autres crypto-monnaies seront ajoutées ultérieurement.

Antoine Ferron, expert crypto et ingénieur blockchain, s’est rendu pour bitcoin.fr dans les locaux d’Archos à Igny afin de découvrir l’appareil et d’échanger avec Jérôme Béclin, en charge du marketing des produits « crypto », ainsi que J.C Rona responsable technique de la gamme :

« Le Safe-T Mini fait bonne figure au niveau des finitions et semble solide, avec des améliorations successives. Mais ce n’est pas là le cœur du sujet, en sécurité l’emballage et le boitier ne sont que des éléments décoratifs.

Concrètement, le périphérique fonctionne avec un “bridge” qui se charge de la communication entre le navigateur web et le périphérique. C’est totalement similaire au Trezor. Le produit est livré sans firmware, celui-ci est chargé par le client à l’initialisation. Cela assure que l’on a bien la dernière version et celle d’Archos. J’imagine que le bootloader, qui semble de son côté bien sécurisé, vérifie aussi la légitimité du firmware lancé. Dans tous les cas, quel que soit le hardware wallet utilisé, je recommande d’initialiser un hardware wallet avec une machine “relativement saine”.

Ensuite tout est effectué dans le Safe-T Mini, l’on note les 24 mots “seed”, l’on sélectionne un PIN et l’on utilise Electrum ou MyCrypto. L’UX/UI est très similaire à celle du Trezor. Les équipes de Archos ont choisi de bénéficier des codes sources ouverts. D’une part ils utilisent des briques déjà testées et éprouvées depuis plusieurs années, et d’autres part apportent à la communauté des nouvelles fonctionnalités. Archos a décidé d’être très ouverts sur le sujet, les programmes sont open-source, le firmware est open-source. Ils réfléchissent même à rendre le hardware libre. Leurs modifications dans les logiciels tiers tels que Electrum et MyCrypto sont en cours de “merge”. Il ne sera plus nécessaire de télécharger du code édité uniquement par Archos. La réutilisation de logiciels libres réduit considérablement le “time-to-market” et le développement, mais Archos contribue aussi activement en retour à cette communauté. La société a par exemple fourni pour MyCrypto une traduction complète et correcte en français, cela bénéficiera même aux utilisateurs de MyCrypto qui n’ont pas d’Archos. Et puis refaire ses propres briques n’est pas conseillé, se reposer sur des briques éprouvées est bien plus sûr.

De fait, les écrans du produit sont similaires à ceux du Trezor, et l’on utilise Electrum (ou ses dérivés) et MyCrypto. Les utilisateurs sont familiers avec ces interfaces, le Safe-T Mini n’étant qu’un dispositif de signature sécurisé. C’est ce qu’on attend d’un hardware wallet finalement, aussi les utilisateurs ne sont absolument pas captifs d’Archos et utilisent des wallets standards.

Au niveau hardware, le design est basé sur celui du Trezor, mais avec des améliorations substantielles. Une mémoire flash sécurisée (appelée « EEPROM crypto memory ») est ajoutée afin de stocker avec une plus grande sécurité les secrets. C’est même ce composant qui vérifie le PIN et s’efface de lui-même au bout de 4 essais infructueux. Et quand je dis s’efface, c’est en fait une destruction « fuse » d’une zone mémoire. Le Safe-T Mini devient même réellement inutilisable au bout de 4 cycles de réinitialisation après des faux pins. Même si cela peut dégrader l’expérience des utilisateurs les plus étourdis, cela augmente la sécurité.

La communication avec ce chip mémoire est authentifiée et chiffrée, mais les calculs sont effectués et chargés en RAM dans un composant standard non protégé (le fameux ARM Cortex-M3 STM32F). C’est le principal point faible de ce produit, en comparaison du Ledger par exemple. Normalement le chargement des infos s’effectue après le code PIN, ce qui réduit la portée du problème. Aussi il faudra voir les possibilités, qui restent assez complexes, de mettre en défaut cette architecture avec la mémoire sécurisée : Man-in-the-Middle, lecture des clés de protection dans les chips… Mais ceci constitue indiscutablement une amélioration par rapport au design de départ (Trezor).

Fin février, Archos avait communiqué sur son produit et avait, dans la précipitation du MWC, omis de parler de cette mémoire sécurisée. Ce qui donnait de la latitude pour dénoncer un simple clone du Trezor. Mais il n’en est rien, ce produit est une évolution intéressante d’un design. J’ai pu échanger avec des personnes qui comprennent en profondeur la sécurité hardware, qui se penchent sur les points importants et les détails. Ce produit a été conçu en France, avec la sécurité à l’esprit selon moi. On peut très probablement extraire les clés secrètes avec des attaques sophistiquées, comme n’importe quel hardware wallet, aussi sécurisé soit-il. Ce hardware wallet semble néanmoins d’un niveau correct et de plus il est 100% français. » – Antoine Ferron, président de BitLogiK, société de sécurité informatique spécialisée en système d’accès, paiements numérique, et blockchain (Conception et audit de systèmes de sécurité numérique, analyse et amélioration d’implémentation cryptographique, protection de données et de clés secrètes).

 

Caractéristiques et matériel :
– CPU : STM32 STMicroelectronics
– Type : ARM Cortex- M3 120 Mhz
– Crypto Mem : AT88SC0104CA / Four 256-bit AES keys
– Size & Weight : 45mm x 7,5mm / 12g
– Ecran OLED de 0.96 pouces. Résolution : 128x64p
– Système d’exploitation : Windows, MAC OS X, Linux
– Logiciels compatibles : Electrum (Bitcoin, Bitcoin Cash, Bitcoin Gold, Litecoin, Dash), MyCrypto (Ether, Ether Classic, ERC20 Tokens)
– Alimentation : Micro USB 500mm
– Cryptomonnaies supportées : Bitcoin (BTC), Bitcoin Cash (BCH), Bitcoin Gold (BTG), Litecoin (LTC), Dash (DSH), Ether (ETH), Ether Classic (ETC) et les tokens ERC20.
 

Vidéo promotionnelle d’Archos :

En savoir plus : archos.com