Topic: Ledger Nano S, vraiment sécure ou peut-il être piraté? (Read 412 times)

Il peut re créer les 24 mots nouveau sur une Ledger, y a un mode avancé dans le site Ledger qui explique comment créer. On peut aussi pour 12 mots et 39 mots quelque chose comme ça. Mais faut être un peu expert pour le comprendre cette manipulation.

Et franchement si il avait beaucoup, il aurait pu aller dans la partie sécurité et créer un autre mot passe qui crée comme un 25e mot de la ledger, comme si tu as deux ledger dans un ledger. Ainsi, soit pour gros coffre fort ou soit pour tromper l'assaillant qui te menace et que tu lui montre la ledger vide quand tu tapes le deuxième code créé.

Merci pour ta réponse. Ca me rassure.
C'est vrai que les articles balance des trucs sans trop savoir de quoi ils parlent des fois.

Pas de soucis. Il existe des failles dans tout software ou hardware mais cela ne veut pas dire que c'est une menace pour les utilisateurs. Dans le cadre d'un bug-bounty, toutes les failles sont corrigés d'abord puis révélés.

j'ai bien mis je sais pas ce que ça vaut.
Etant une quiche en sécurité du moins sur la ledger.
Et c'était le moyen de lancer un peu le sujet pour en débattre et savoir si c'est une vrai faille ou pas.

Stop les click-baits please.
Déjà c'est 3 bugs qui ont été découvert dans le cadre du bounty program de Ledger par 3 personnes et le fait d'avoir 15 ans n'empêche pas d'être très bon dans un domaine. Par contre il a un peu fait la pute et n'a pas révélé le bug comme il faut.

https://www.ledger.fr/2018/03/20/firmware-1-4-deep-dive-security-fixes/

putain sincèrement c'est une des meilleures idées que j'ai vu depuis longtemps ahaha

pour revenir à ce que tu disais Béca, j'ai vu les "failles" trouvées par ce jeune homme, mais sincèrement j'ai pas l'impression qu'il ait découvert grand chose, enfin je me trompe peut-être, mais certains ont même déjà utilisées les failles qu'il a cité alors bon...

Il a plus qu'a laisser des nano S dans le rue et hop il est riche le mec.
L'autre à perdu ça clef nano S tant pis pour lui et non c'est toi qui a perdu tes coincoins.

et pour ceux qui ne comprennent pas l'étranger :

https://cryptoactu.com/piratage/ledger-et-trezor-corrigent-des-failles-de-securite-sur-leurs-appareils/


CRYPTO-MONNAIES PIRATAGE
"Un ado de 15 ans pirate les portefeuilles Ledger et TREZOR, des correctifs mis en place / Mar 21, 2018

Les deux firmes leaders du marché des portefeuilles physiques destinés aux détenteurs de cryptomonnaies ont fait face de manière quasi-simultané à la découverte de plusieurs failles de sécurité sur leurs appareils. Des correctifs ont été publiés. A l’origine de la majorité de ces découvertes: un adolescent de quinze ans.

Rien n’est inviolable, pas même un produit conçu pour l’être. En l’espace de quelques jours, SatoshiLab – à l’origine des TREZOR – et Ledger ont publié des correctifs visant à combler des failles dont la dangerosité fait débat.


Deux failles pour Ledger
« Il est absolument impossible qu’un attaquant puisse remplacer le firmware et le faire passer l’attestation sans connaître la clé privée du Ledger » déclarait la société française sur son blog en 2015 pour justifier l’absence de scellés, avec cette même typographie grasse. C’était sans compter sur l’intervention de Saleem Rashid, un adolescent anglais de quinze ans qui est parvenu à intégrer une porte dérobée à l’appareil en ayant un accès physique à celui-ci.

La preuve de concept développée par le jeune homme amène l’appareil à générer des adresses de portefeuille prédéterminées et des mots de récupérations (données vitales et ultra confidentielles) choisis par l’attaquant. Ce dernier pourrait alors entrer ces même mots dans un nouveau portefeuille matériel pour récupérer l’argent stocké depuis le produit compromis. Si cette dernière opération peut cette fois ci se faire à distance, il est nécessaire d’avoir préalablement accès à l’appareil (avant l’utilisateur final dans le cas d’une attaque «supply-chain » ou subtilisé quelques minutes dans le cas d’une attaque « evil-maid »). Un risque non négligeable quand l’appareil est acheté chez un revendeur même officiel.(...)"

https://arstechnica.com/information-technology/2018/03/a-tamper-proof-currency-wallet-just-got-trivially-backdoored-by-a-15-year-old/

Je sais pas ce que ça vaut
@Merci à Trankil  

Je croix que le Ledger NAno S est bien sécurisé et ne peut pas être piraté, ton argent ou tes cryptos sont bien sécurisés et il y a aucune crainte.
Tu l'as acheté d'ou, j'espère que tu l'as acheté d'un site officiel parce que il y'a des sites qui vendes du matériels dupliqués et les constructeurs peuvent avoir accès à tes cryptos et les voler à tout moment.

Merci pour cette réponse qui doit tranquilliser pas mal de monde.

Juste une petite rectification, le formatage n'efface certe pas tout (il reste quelques traces), aucune application ne pourra ce relancer derrière. Attention, je parle bien d'un formatage suivis d'une réinstallation (faite à partir d'un support et non de la partition de recovery) et non d'une réinitialisation.

avec la seed ,  en utilisant le soft "ian coleman" vous pouvez retrouver les clefs de tous les wallets bitcoin ( meme si vous en avez plusieurs car le nano propose une nouvelle adresse à chaque reception )
Et egalement sur ethereum ( là aussi il y peut y avoir plusieurs adresses , mais c est un peu plus compliqué )
Pour les autres cryptos , c est faisable aussi mais je ne l ai jamais fait .

Avec ces clefs privées , BTC ou ETH , vous pouvez ensuite les reprendre avec N IMPORTE QUEL SOFT WALLET 

bien sur , si vous utilisez un wallet compatible bip39 vous n avez pas à faire tout ça il vous sufffit de rentrer la seed et c est tout.

ATTENTION ATTENTION , LE SOFT IAN COLEMAN EST A UTILISER SUR UN PC OFFLINE ET QUI NE SERA PLUS JAMAIS ONLINE
 ( ou alors l effacer avec un soft adequat , genre DBAN  , et non pas le formater car le formatage n efface pas tout )
= = >  ETRE TRES PRUDENT SUR LA MANIP ; A VOS RISQUES ET PERILS

mais bref , vous pourrez tout retrouver , meme en cas de faillite de LEDGER 
 

Mais si t'as tes clés privées ou ta seed, t'es tranquille.

Logiquement vu que l'on peut voir son solde et effectuer des transactions sur la Ledger sans avoir à télécharger la blockchain, il y a donc des serveurs auxquels on se connecte.
De plus on a tous constaté les gros problèmes pour la mise à jour du firmware, on ne pouvais casiment plus télécharger d'apps car les serveurs étaient surchargés.
Pour moi le plus gros risque se situe au niveaux des serveurs auxquels la Ledger se connecte.

Le probleme c'est que pour faire ca Ledger devrait enlever le support BIP39 car si ils font trop chier leurs clients pour qu'ils utlisent des logiciels proprio bas les clients peuvent actuellement facilement passer sur n'importe quel autre hardware wallet ou soft sans meme avoir besoin de faire de transactions. Donc ca serait contre-productif de la part de Ledger.

Ah bah difficile, ça c'est sûr, mais est-ce que le risque est réellement nul ?? T'imagines un peu le braquage que ça se serait ? aha. A tous utiliser le même wallet physique, du même concepteur, on perd un peu en décentralisation ! Après l'avantage, c'est qu'on connait la société qui les commercialise et qu'elle a pignon sur rue. C'est pas un produit made in china dont on ne retrouvera jamais les concepteurs !

À bien y réfléchir, je me dis que ce n'est pas réel car vouloir économiser 20$ sachant que derrière j'ai 28k c'est quand même assez bizarre pour moi. J'ai toujours pensé comme toi @Chainblock  mais après avoir fait mes recherches, je trouve que ce n'est pas impossible mais il serait assez difficile qu'une telle chose arrive. Pour faire simple d'après ce que j'ai compris, La Ledger fonctionne comme les papers wallets mais avec l'avantage que tu peux y mettre plusieurs monnaies

Ca parait tellement gros comme procédé que j'ai presque envie de dire bien fait... Tenter de faire une économie de 20$ en achetant une ledger d'occas pour y mettre 28K, c'est totalement aberrant. J'ai même peur des fois que la société ledger qui commercialise ces wallets nous la mettent à l'envers un jour en récupérant tous nos fonds grâce à je ne sais quel programme qui pourrait être inséré dedans, alors l'acheter à un random ahah

Un Nano S, c'est comme une brosse à dents : ça s'achète neuf !

Je ne vois pas le rapport.

Il y a un sujet déjà sur cette news et ça n'apporte rien sur la sécurité ou non de la nano S.
C'est un problème humain là.