Lors de la conférence Breaking Bitcoin qui s’est déroulée à Amsterdam les 8 et 9 juin derniers, Charles Guillemet, CSO de Ledger, a révélé un certain nombre de vulnérabilités critiques touchant plusieurs hardware wallets : Ellipal, Trezor One, Trezor T, Keepkey et le smartphone HTC Exodus. L’équipe de Ledger Donjon, dédiée à cette activité, est ainsi parvenue à extraire les clés privées de plusieurs de ces appareils.
En ce qui concerne Ellipal, Trezor One, Trezor T et Keepkey, l’extraction des clés nécessite un accès physique à l’appareil, mais elle est assez rapide à réaliser et ne nécessite pas de gros moyens financiers (environ 100 dollars). L’attaque sur le smartphone HTC Exodus peut être réalisée à distance.
Les failles décelées ont été signalées en amont aux équipes concernées. Certaines ont pu être corrigées. La vulnérabilité permettant d’extraire les clés du Trezor One, du Trezor T et du Keepkey, due à l’absence d’un « secure element » spécialisé, n’a pas été détaillée car elle ne peut pas être corrigée. Pour atténuer le risque l’équipe de Ledger Donjon suggère d’utiliser un mot de passe très long : au moins 36 caractères aléatoires.
Voir la transcription de la conférence
Voir la vidéo de la conférence
