Faille sur le wallet Trezor - page 2.

RoyalMoney

copper member

Activity: 71

Merit: 17

Crypto Ferengi

Oui évidemment, le backup de la seed c'est la base Wink

Quand je dis effrayant et génial, c'est parce que ç'est super simple pour une réinstallation mais en même temps, on a envie de l'effacer Cheesy

Par contre pour le tactile je ne pense pas qu-il y ai de stress à avoir, un bouton mécanique n'est pas nécessairement plus fiable.

Becassine

hero member

Activity: 1820

Merit: 775

Quote from: RoyalMoney on July 13, 2023, 03:45:17 PM

Salut à tous,

Je me suis pris une bitbox02 pour compléter mon trezor 1 et ledger nano X.

Assez sympa, le système tactile pour les mots de passe est un peu perturbant au début mais on s' y fait..
Je trouve le system de backup sur microSD à la fois génial et effrayant Cheesy

Oui c'est toujours un peu les côtés pile et face de la sécurité ... Accéder aisément à ses fonds tout en les protégeant efficacement. De toutes façons un backup sur du papier de pierre ou du metal est sans doute indispensable pour les gens qui ont beaucoup de fonds.

Quote from: paid2 on July 13, 2023, 04:35:55 PM

Quote from: RoyalMoney on July 13, 2023, 03:45:17 PM

Salut à tous,

Je me suis pris une bitbox02 pour compléter mon trezor 1 et ledger nano X.

Assez sympa, le système tactile pour les mots de passe est un peu perturbant au début mais on s' y fait..
Je trouve le system de backup sur microSD à la fois génial et effrayant Cheesy

Pourquoi la microSD est effrayante ? Grin

Je suis de plus en plus tenté par une bitbox btc-only, mais c'est le prix + le tactile qui m'effraient un peu Cheesy

J'utilise Electrum, et un vieux Ledger Nano S (donc pas concerné par les mises à jour qui puent pour la seed), et je cherche à remplacer le Ledger pour une solution full open source.
Je pense partir sur une Coldcard Mk4. ça me semble moins potentiellement capricieux que la bitbox et son tactile, mais j'hésite encore.

Il n'y a pas de MAJ sur les nano S ? J'espère que je vais pouvoir organiser un autre concours avec une bitbox Cheesy

paid2

hero member

Activity: 504

Merit: 1065

Crypto Swap Exchange

Quote from: RoyalMoney on July 13, 2023, 03:45:17 PM

Salut à tous,

Je me suis pris une bitbox02 pour compléter mon trezor 1 et ledger nano X.

Assez sympa, le système tactile pour les mots de passe est un peu perturbant au début mais on s' y fait..
Je trouve le system de backup sur microSD à la fois génial et effrayant Cheesy

Pourquoi la microSD est effrayante ? Grin

Je suis de plus en plus tenté par une bitbox btc-only, mais c'est le prix + le tactile qui m'effraient un peu Cheesy

J'utilise Electrum, et un vieux Ledger Nano S (donc pas concerné par les mises à jour qui puent pour la seed), et je cherche à remplacer le Ledger pour une solution full open source.
Je pense partir sur une Coldcard Mk4. ça me semble moins potentiellement capricieux que la bitbox et son tactile, mais j'hésite encore.

RoyalMoney

copper member

Activity: 71

Merit: 17

Crypto Ferengi

Salut à tous,

Je me suis pris une bitbox02 pour compléter mon trezor 1 et ledger nano X.

Assez sympa, le système tactile pour les mots de passe est un peu perturbant au début mais on s' y fait..
Je trouve le system de backup sur microSD à la fois génial et effrayant Cheesy

Becassine

hero member

Activity: 1820

Merit: 775

Quote from: Saint-loup on June 15, 2023, 09:19:58 AM

Quote from: Becassine on June 15, 2023, 05:44:27 AM

Pourquoi tu n'aurais jamais acheté de Ledger ? Tu peux préciser ? Quel est le rapport avec une bonne cachette ? Car c'est surtout les clés privées qu'il faut bien cacher au final, le code pin de la ledger est suffisamment long pour être sécurisé, non ?
Toujours est-il que je n'aime pas du tout l'interface de Ledger. Perso je préfère la Bitbox.

Sans doute parce que Ledger a longtemps fait croire que la seed était totalement isolée et inextricable meme en flashant le firmware, avant de finalement faire machine arrière pris la main dans le sac, au détour de l'ajout d'une fonctionnalité. Or si ils y arrivent ça veut dire que ce n'est pas impossible et que quelqu'un subtilisant une Ledger peut peut-être y arriver avec la complicité de quelqu'un travaillant chez eux par exemple.

Ah ouais je n'avais pas pensé à ça. En matière de comm (et de SAV) ils sont nuls.
Ce serait pas mal que des experts se penchent sur le problème de potentiel hack de la Ledger (à moins que ce ne soit déjà fait ?), un peu comme pour le Trezor afin de voir si c'est possible de récupérer la seed quand on a les compétences et le matériel.

Après le hack de Atomic wallet, on finit par se demander quelle est la meilleure manière de générer des clés privées pour être safe à 100 % ?

On en parle ici d'Atomic wallet ?

Saint-loup

legendary

Activity: 2604

Merit: 2353

Quote from: Becassine on June 15, 2023, 05:44:27 AM

Pourquoi tu n'aurais jamais acheté de Ledger ? Tu peux préciser ? Quel est le rapport avec une bonne cachette ? Car c'est surtout les clés privées qu'il faut bien cacher au final, le code pin de la ledger est suffisamment long pour être sécurisé, non ?
Toujours est-il que je n'aime pas du tout l'interface de Ledger. Perso je préfère la Bitbox.

Sans doute parce que Ledger a longtemps fait croire que la seed était totalement isolée et inextricable meme en flashant le firmware, avant de finalement faire machine arrière pris la main dans le sac, au détour de l'ajout d'une fonctionnalité. Or si ils y arrivent ça veut dire que ce n'est pas impossible et que quelqu'un subtilisant une Ledger peut peut-être y arriver avec la complicité de quelqu'un travaillant chez eux par exemple.

Becassine

hero member

Activity: 1820

Merit: 775

Quote from: patrickus on May 26, 2023, 10:58:39 AM

Si je l'avais su, jamais je n'aurais acheté une ledger.
Ou alors il faut bien cacher cette ledger par exemple dans un coffre en banque. Sauf que je m'en sers de temps en temps.

Pourquoi tu n'aurais jamais acheté de Ledger ? Tu peux préciser ? Quel est le rapport avec une bonne cachette ? Car c'est surtout les clés privées qu'il faut bien cacher au final, le code pin de la ledger est suffisamment long pour être sécurisé, non ?
Toujours est-il que je n'aime pas du tout l'interface de Ledger. Perso je préfère la Bitbox.

Quote from: paid2 on June 03, 2023, 02:16:57 PM

Quote from: Saint-loup on June 01, 2023, 02:08:56 PM

Le problème comme tu l'avais déjà souligné dans un autre thread, c'est le manque de solutions alternatives. Si on veut holder des altcoins, c'est quasiment impossible de trouver des soft wallets surs que l'on peut utiliser en mode cold wallet.

Pour le cas que tu décris, si tu veux holder des altcoins de manière safe, est-ce qu'on pourrait pas imaginer une tablette air-gapped avec Alpha Wallet ou n'omporte quel autre wallet multi-cryptos open source ?

Quote

Alpha Wallet is a free and open-source cryptocurrency wallet that allows the self-custodial of digital assets. The wallet is available for Android and iOS devices, as well as for web and desktop. This mobile wallet uses Secure Enclave to provide users with cold wallet-grade security.

It supports ERC20, ERC721, ERC1155, and ERC875 natively. This multichain Ethereum wallet can store all popular Ethereum-based networks, including Polygon, Binance Smart Chain (BSC), xDai, Fantom Opera, Avalanche, Optimistic, Arbitrum One, Heco, ARTIS sigma1, and more. This wallet further supports NFTs and allows users to interact with DeFi.

Et sinon pourquoi pas un Trezor DIY avec un raspeberry pi 0 ? https://www.pitrezor.com/2018/02/pitrezor-homemade-trezor-bitcoin-wallet.html

Tout simplement parce que ce n'est pas si facile ... Il faut tout de même quelques connaissances techniques de base...

J'avais vu la vidéo de Joe Grand (https://www.youtube.com/watch?v=dT9y-KQbqi4), qui avait cracké un Trezor, la société avait évidemment publié un communiqué pour dire que ce n'était plus possible. Néanmoins avec les multiples hacks (dont bien sûr récemment Atomic wallet), ça ne risque pas d'inciter les gens à s'intéresser au bitcoin, les gens sont trop habitués aux assurances bancaires quand ils se font pirater leur CB, alors sécuriser des btc ...

paid2

hero member

Activity: 504

Merit: 1065

Crypto Swap Exchange

Quote from: Saint-loup on June 01, 2023, 02:08:56 PM

Le problème comme tu l'avais déjà souligné dans un autre thread, c'est le manque de solutions alternatives. Si on veut holder des altcoins, c'est quasiment impossible de trouver des soft wallets surs que l'on peut utiliser en mode cold wallet.

Pour le cas que tu décris, si tu veux holder des altcoins de manière safe, est-ce qu'on pourrait pas imaginer une tablette air-gapped avec Alpha Wallet ou n'omporte quel autre wallet multi-cryptos open source ?

Quote

Alpha Wallet is a free and open-source cryptocurrency wallet that allows the self-custodial of digital assets. The wallet is available for Android and iOS devices, as well as for web and desktop. This mobile wallet uses Secure Enclave to provide users with cold wallet-grade security.

It supports ERC20, ERC721, ERC1155, and ERC875 natively. This multichain Ethereum wallet can store all popular Ethereum-based networks, including Polygon, Binance Smart Chain (BSC), xDai, Fantom Opera, Avalanche, Optimistic, Arbitrum One, Heco, ARTIS sigma1, and more. This wallet further supports NFTs and allows users to interact with DeFi.

Et sinon pourquoi pas un Trezor DIY avec un raspeberry pi 0 ? https://www.pitrezor.com/2018/02/pitrezor-homemade-trezor-bitcoin-wallet.html

Saint-loup

legendary

Activity: 2604

Merit: 2353

Quote from: patrickus on May 26, 2023, 10:58:39 AM

Quote from: LeGaulois on May 25, 2023, 09:50:32 AM

C'est une faille qui date de ~2013 je crois.

Si je l'avais su, jamais je n'aurais acheté une ledger.
Ou alors il faut bien cacher cette ledger par exemple dans un coffre en banque. Sauf que je m'en sers de temps en temps.

Le problème comme tu l'avais déjà souligné dans un autre thread, c'est le manque de solutions alternatives. Si on veut holder des altcoins, c'est quasiment impossible de trouver des soft wallets surs que l'on peut utiliser en mode cold wallet.
Pour Bitcoin, en revanche, si on garde d'importantes sommes c'est mieux d'utiliser un soft wallet si on veut dormir sur ses 2 oreilles je pense. Une vieille tablette ou un vieux laptop air gapped peuvent parfaitement faire l'affaire.

LeGaulois

copper member

Activity: 2940

Merit: 4101

Top Crypto Casino

Quote from: patrickus on May 28, 2023, 04:38:36 AM

Assez intelligent si c'est le cas, mais très vicieux comme pratique... Ca me fait penser aux wallets Samourai VS Wasabi
Après, tu vas me dire: lorsqu'il s'agit de business, tous les coups sont permis...

Je suis tombé sur cette actualité au sujet de Trezor ( ca date de ~3 semaines)
Kaspersky a trouvé des contrefacons de wallets qui étaient en vente sur un (ou des) marketplace.
On peut voir à droite que le microcontroleur a été démonté puis remplacé par un autre.

Alors quand vérité, rien de nouveau sous le soleil. Ces contrefacons sont connues depuis l'année dernière...

patrickus

hero member

Activity: 2856

Merit: 917

L'annonce de la fonctionalité Recover a fait craindre qu'il y ait une porte dérobée chez Ledger et beaucoup ont préféré depuis acheter un hard-wallet chez Trezor. Et donc cet article tombe à pic pour dissuader de se tourner vers Trezor. Wink

LeGaulois

copper member

Activity: 2940

Merit: 4101

Top Crypto Casino

Quote from: Saint-loup on May 26, 2023, 06:56:32 AM

Autant pour moi. Effectivement, c'est un truc de 2020, impliquant le déréglage de la tension de la puce STM32 (un microcontroleur). (C'est d'ailleurs Kraken qui l'avait découverte)
Moi aussi j'ai trouvé ca étrange comme timing avec Ledger, mais je ne vois pas trop qu'est ce qui pourrait se cacher derrière.

En attendant, Trezor accroît ses ventes de 900 % grâce à la crise de Ledger

Quote from: patrickus on May 26, 2023, 10:58:39 AM

Tu veux dire plutôt Trezor, non?
Après, peu importe le wallet, on a tous au moins 1 wallet bien caché qu'on utilise rarement ou jamais et 1 wallet avec une certaine somme que l'on se sert pour faire ses achats, son trading, ou autre...

patrickus

hero member

Activity: 2856

Merit: 917

Quote from: LeGaulois on May 25, 2023, 09:50:32 AM

C'est une faille qui date de ~2013 je crois.

Si je l'avais su, jamais je n'aurais acheté une ledger.
Ou alors il faut bien cacher cette ledger par exemple dans un coffre en banque. Sauf que je m'en sers de temps en temps.

Saint-loup

legendary

Activity: 2604

Merit: 2353

Quote from: LeGaulois on May 25, 2023, 09:50:32 AM

C'est une faille qui date de ~2013 je crois. C'est du recyclage. Dans cette période Trezor avait ajouté une passphrase

La vidéo, ils ont bruteforcé le PIN mais pas la passphrase. Et pour y arriver, il faut quand même une sacré puissance de calcul et accéder à l'appareil. D'ou la réponse "ladite faille nécessitait un accès physique au portefeuille et « des connaissances technologiques extrêmement sophistiquées ainsi qu’un équipement de pointe "

Je trouve que c'est un peu chercher à faire juste un buzz...
Unciphered: entreprise pour récupérer des fonds perdus en vérifiant le code et en trouvant des vulnérabilités dans les wallets.
Ce genre d'entreprises, lorsqu'elles découvrent une faille, elle préviennent en les contactant en privé, parfois pour pouvoir gagner un "bug bounty" (revenus non négligable pour certains). Rarement elles vont aller divulguer leur trouvaille sur youtube, twitter and co.

Ils disent dans l'article que la faille susceptible d'avoir été exploitée date de 2020 et que Trezor n'a rien fait pour y remédier depuis(Trezor prétend qu'il suffirait d'utiliser une passphrase pour contrer cette attaque). Ce qui est inquiétant c'est qu'ils réussissent bien à extraire la seed en clair. Ce qui veut dire que quelqu'un qui subtilise le wallet(un livreur ou une femme de ménage par exemple) peut voler la seed puis remettre le wallet en place en attendant qu'il y ait plus de fonds ou de s'être fait oublier.
Mais bizarre quand même de ressortir une faille apparemment déjà connue au moment même où Ledger est dans la sauce...

LeGaulois

copper member

Activity: 2940

Merit: 4101

Top Crypto Casino

C'est une faille qui date de ~2013 je crois. C'est du recyclage. Dans cette période Trezor avait ajouté une passphrase

La vidéo, ils ont bruteforcé le PIN mais pas la passphrase. Et pour y arriver, il faut quand même une sacré puissance de calcul et accéder à l'appareil. D'ou la réponse "ladite faille nécessitait un accès physique au portefeuille et « des connaissances technologiques extrêmement sophistiquées ainsi qu’un équipement de pointe "

Je trouve que c'est un peu chercher à faire juste un buzz...
Unciphered: entreprise pour récupérer des fonds perdus en vérifiant le code et en trouvant des vulnérabilités dans les wallets.
Ce genre d'entreprises, lorsqu'elles découvrent une faille, elle préviennent en les contactant en privé, parfois pour pouvoir gagner un "bug bounty" (revenus non négligable pour certains). Rarement elles vont aller divulguer leur trouvaille sur youtube, twitter and co.

Melja

full member

Activity: 893

Merit: 173

Comme Ledger et tout les HW finalement

patrickus

hero member

Activity: 2856

Merit: 917

Quote

L’entreprise spécialisée en cybersécurité Unciphered vient de démontrer, vidéo à l’appui, qu’il était techniquement possible d’extraire la clé de sécurité du hardware wallet Trezor. Si l’exploit n’est pas à proprement parler accessible à tous, un vent d’inquiétude souffle dans les rangs des détenteurs de ce portefeuille crypto très populaire.

https://journalducoin.com/actualites/faille-sur-le-wallet-crypto-trezor-unciphered-parvient-a-extraire-une-cle-privee/

Quote

Le porte-parole de Trezor a également insisté sur le fait que l’exploitation de ladite faille nécessitait un accès physique au portefeuille et « des connaissances technologiques extrêmement sophistiquées ainsi qu’un équipement de pointe ».

mouai... C'est inquiétant quand même. Undecided

Topic: Faille sur le wallet Trezor - page 2. (Read 497 times)