Topic: Ledger Nano S, vraiment sécure ou peut-il être piraté? (Read 407 times)

Il peut re créer les 24 mots nouveau sur une Ledger, y a un mode avancé dans le site Ledger qui explique comment créer. On peut aussi pour 12 mots et 39 mots quelque chose comme ça. Mais faut être un peu expert pour le comprendre cette manipulation.

Et franchement si il avait beaucoup, il aurait pu aller dans la partie sécurité et créer un autre mot passe qui crée comme un 25e mot de la ledger, comme si tu as deux ledger dans un ledger. Ainsi, soit pour gros coffre fort ou soit pour tromper l'assaillant qui te menace et que tu lui montre la ledger vide quand tu tapes le deuxième code créé.

Merci pour ta réponse. Ca me rassure.
C'est vrai que les articles balance des trucs sans trop savoir de quoi ils parlent des fois.

Pas de soucis. Il existe des failles dans tout software ou hardware mais cela ne veut pas dire que c'est une menace pour les utilisateurs. Dans le cadre d'un bug-bounty, toutes les failles sont corrigés d'abord puis révélés.

j'ai bien mis je sais pas ce que ça vaut.
Etant une quiche en sécurité du moins sur la ledger.
Et c'était le moyen de lancer un peu le sujet pour en débattre et savoir si c'est une vrai faille ou pas.

Stop les click-baits please.
Déjà c'est 3 bugs qui ont été découvert dans le cadre du bounty program de Ledger par 3 personnes et le fait d'avoir 15 ans n'empêche pas d'être très bon dans un domaine. Par contre il a un peu fait la pute et n'a pas révélé le bug comme il faut.

https://www.ledger.fr/2018/03/20/firmware-1-4-deep-dive-security-fixes/

putain sincèrement c'est une des meilleures idées que j'ai vu depuis longtemps ahaha

pour revenir à ce que tu disais Béca, j'ai vu les "failles" trouvées par ce jeune homme, mais sincèrement j'ai pas l'impression qu'il ait découvert grand chose, enfin je me trompe peut-être, mais certains ont même déjà utilisées les failles qu'il a cité alors bon...

Il a plus qu'a laisser des nano S dans le rue et hop il est riche le mec.
L'autre à perdu ça clef nano S tant pis pour lui et non c'est toi qui a perdu tes coincoins.

et pour ceux qui ne comprennent pas l'étranger :

https://cryptoactu.com/piratage/ledger-et-trezor-corrigent-des-failles-de-securite-sur-leurs-appareils/


CRYPTO-MONNAIES PIRATAGE
"Un ado de 15 ans pirate les portefeuilles Ledger et TREZOR, des correctifs mis en place / Mar 21, 2018

Les deux firmes leaders du marché des portefeuilles physiques destinés aux détenteurs de cryptomonnaies ont fait face de manière quasi-simultané à la découverte de plusieurs failles de sécurité sur leurs appareils. Des correctifs ont été publiés. A l’origine de la majorité de ces découvertes: un adolescent de quinze ans.

Rien n’est inviolable, pas même un produit conçu pour l’être. En l’espace de quelques jours, SatoshiLab – à l’origine des TREZOR – et Ledger ont publié des correctifs visant à combler des failles dont la dangerosité fait débat.


Deux failles pour Ledger
« Il est absolument impossible qu’un attaquant puisse remplacer le firmware et le faire passer l’attestation sans connaître la clé privée du Ledger » déclarait la société française sur son blog en 2015 pour justifier l’absence de scellés, avec cette même typographie grasse. C’était sans compter sur l’intervention de Saleem Rashid, un adolescent anglais de quinze ans qui est parvenu à intégrer une porte dérobée à l’appareil en ayant un accès physique à celui-ci.

La preuve de concept développée par le jeune homme amène l’appareil à générer des adresses de portefeuille prédéterminées et des mots de récupérations (données vitales et ultra confidentielles) choisis par l’attaquant. Ce dernier pourrait alors entrer ces même mots dans un nouveau portefeuille matériel pour récupérer l’argent stocké depuis le produit compromis. Si cette dernière opération peut cette fois ci se faire à distance, il est nécessaire d’avoir préalablement accès à l’appareil (avant l’utilisateur final dans le cas d’une attaque «supply-chain » ou subtilisé quelques minutes dans le cas d’une attaque « evil-maid »). Un risque non négligeable quand l’appareil est acheté chez un revendeur même officiel.(...)"

https://arstechnica.com/information-technology/2018/03/a-tamper-proof-currency-wallet-just-got-trivially-backdoored-by-a-15-year-old/

Je sais pas ce que ça vaut
@Merci à Trankil  

Je croix que le Ledger NAno S est bien sécurisé et ne peut pas être piraté, ton argent ou tes cryptos sont bien sécurisés et il y a aucune crainte.
Tu l'as acheté d'ou, j'espère que tu l'as acheté d'un site officiel parce que il y'a des sites qui vendes du matériels dupliqués et les constructeurs peuvent avoir accès à tes cryptos et les voler à tout moment.

Merci pour cette réponse qui doit tranquilliser pas mal de monde.

Juste une petite rectification, le formatage n'efface certe pas tout (il reste quelques traces), aucune application ne pourra ce relancer derrière. Attention, je parle bien d'un formatage suivis d'une réinstallation (faite à partir d'un support et non de la partition de recovery) et non d'une réinitialisation.

avec la seed ,  en utilisant le soft "ian coleman" vous pouvez retrouver les clefs de tous les wallets bitcoin ( meme si vous en avez plusieurs car le nano propose une nouvelle adresse à chaque reception )
Et egalement sur ethereum ( là aussi il y peut y avoir plusieurs adresses , mais c est un peu plus compliqué )
Pour les autres cryptos , c est faisable aussi mais je ne l ai jamais fait .

Avec ces clefs privées , BTC ou ETH , vous pouvez ensuite les reprendre avec N IMPORTE QUEL SOFT WALLET 

bien sur , si vous utilisez un wallet compatible bip39 vous n avez pas à faire tout ça il vous sufffit de rentrer la seed et c est tout.

ATTENTION ATTENTION , LE SOFT IAN COLEMAN EST A UTILISER SUR UN PC OFFLINE ET QUI NE SERA PLUS JAMAIS ONLINE
 ( ou alors l effacer avec un soft adequat , genre DBAN  , et non pas le formater car le formatage n efface pas tout )
= = >  ETRE TRES PRUDENT SUR LA MANIP ; A VOS RISQUES ET PERILS

mais bref , vous pourrez tout retrouver , meme en cas de faillite de LEDGER 
 

Mais si t'as tes clés privées ou ta seed, t'es tranquille.

Logiquement vu que l'on peut voir son solde et effectuer des transactions sur la Ledger sans avoir à télécharger la blockchain, il y a donc des serveurs auxquels on se connecte.
De plus on a tous constaté les gros problèmes pour la mise à jour du firmware, on ne pouvais casiment plus télécharger d'apps car les serveurs étaient surchargés.
Pour moi le plus gros risque se situe au niveaux des serveurs auxquels la Ledger se connecte.

Le probleme c'est que pour faire ca Ledger devrait enlever le support BIP39 car si ils font trop chier leurs clients pour qu'ils utlisent des logiciels proprio bas les clients peuvent actuellement facilement passer sur n'importe quel autre hardware wallet ou soft sans meme avoir besoin de faire de transactions. Donc ca serait contre-productif de la part de Ledger.

Ah bah difficile, ça c'est sûr, mais est-ce que le risque est réellement nul ?? T'imagines un peu le braquage que ça se serait ? aha. A tous utiliser le même wallet physique, du même concepteur, on perd un peu en décentralisation ! Après l'avantage, c'est qu'on connait la société qui les commercialise et qu'elle a pignon sur rue. C'est pas un produit made in china dont on ne retrouvera jamais les concepteurs !

À bien y réfléchir, je me dis que ce n'est pas réel car vouloir économiser 20$ sachant que derrière j'ai 28k c'est quand même assez bizarre pour moi. J'ai toujours pensé comme toi @Chainblock  mais après avoir fait mes recherches, je trouve que ce n'est pas impossible mais il serait assez difficile qu'une telle chose arrive. Pour faire simple d'après ce que j'ai compris, La Ledger fonctionne comme les papers wallets mais avec l'avantage que tu peux y mettre plusieurs monnaies

Ca parait tellement gros comme procédé que j'ai presque envie de dire bien fait... Tenter de faire une économie de 20$ en achetant une ledger d'occas pour y mettre 28K, c'est totalement aberrant. J'ai même peur des fois que la société ledger qui commercialise ces wallets nous la mettent à l'envers un jour en récupérant tous nos fonds grâce à je ne sais quel programme qui pourrait être inséré dedans, alors l'acheter à un random ahah

Un Nano S, c'est comme une brosse à dents : ça s'achète neuf !

Je ne vois pas le rapport.

Il y a un sujet déjà sur cette news et ça n'apporte rien sur la sécurité ou non de la nano S.
C'est un problème humain là.

C'est bien de le préciser, mais dans ce cas là, l'utilisateur est con, tout ça pour grapiller quelques euros pour payer son ledger moins cher. Quand tu stockes 28000 euros tu cherches pas a grapiller et tu achète sur le site du fabricant. Bref, ce n'est pas un problème de ledger mais d'utilisateur dans ce cas là

APRÈS AVOIR ACHETÉ UN WALLET LEDGER NANO D’OCCASION SUR EBAY, UN UTILISATEUR SE FAIT DÉROBER PLUS DE 28 000 EUROS DE CRYPTO-MONNAIES

Un individu a récemment déclaré sur Reddit que les fonds stockés sur son Ledger Nano S avaient soudainement disparu. Il s’était offert un modèle d’occasion sur eBay. Il y en aurait pour l’équivalent de plus de 28 000 euros.

Le voleur aurait eu recours à une attaque de l’homme du milieu (man-in-the-middle attack) visant à intercepter les communications entre deux parties. Il aurait ainsi pu insérer dans le portefeuille sa propre « recovery seed » – la série de mots permettant de prendre le contrôle de celui-ci.

https://www.crypto-france.com/apres-avoir-achete-un-wallet-ledger-nano-doccasion-sur-ebay-un-utilisateur-se-fait-derober-plus-de-28-000-euros-de-crypto-monnaies/

Effectivement.
Même la sécurité de Bitcoin pourra être "cassé" un jour (la cryptographie : la parade sera d'en augmenter la complexité juste avant que la puissance des machines le permette.
Un produit contient intrinsèquement plus de probabilité d'être hacké qu'il est centralisé et privé, 2 facteurs cumulés par Ledger.

Je nai pas encore entendu parler de problemes, mais je suppose que toute technologie est piratee.

Le Ledger NanoS est sécure tant qu'il n'a pas été victime d'un hack.

Derrière cette Lapalissade, se cache une vérité plus profonde qu'il n'y paraît : les gens achètent des cryptomonnaies pour s'affranchir de la centralisation et en confie la sécurité à un pourvoir central, et en plus privé : la société Ledger.
Le Ledger Nano S rencontre bien trop de succès dans les médias et chez les influenceurs pour ne pas être très prudent : d'une part il y a tous les bugs qui sont soigneusement passés sous silence (il faut chercher pour se tenir au courant, jusqu'à présent ces bugs, sauf un, n'ont pas affectés la sécurité), d'autre part, il n'est jamais dit que le Ledger Nano S impose son propre navigateur internet, rien que cela. En plus, ce navigateur existe en version libre et en version propriétaire : on pourrait croire que la version libre est recommandée, non c'est la version propriétaire. Cela commence à faire beaucoup de code propriétaire pour une monnaie libre.

Qui pourrait pirater le Ledger ?
Le plus simplement du monde et en premier lieu, comme pour toute application de sécurité, un membre de la team elle-même.
En second lieu, n'importe qui peux pirater Ledger si le code n'est pas parfait... et il y a peu de probabilité qu'il soit parfait (regardez ce qui se fait en matière de sécurité nucléaire ou aérienne pour mesurer ce qu'est la sécurité en matière de développement informatique et demandez-vous si Ledger est en mesure d'assurer les mêmes procédures sur son code : l'histoire démontre que non).

Tu m’étonnes !!

Bon au moins ça lui aura appris les risques du monde des cryptos.

Avant toutes choses, il est primordial de se renseigner au maximum !!!

Enfin comme je dis, une bonne baise vaut mieux que milles bons conseils  !! C'est plus formateur :-)

Si le mec est pas futé, on peu plus rien pour lui.

  Attention , il faut bien penser à resseter le NANO avant la premiere utilisation . si ce n est pas le cas .

  Si vous l achetez neuf il est livré effacé , et donc à la premiere mise sous tension il va vous attribuer une seed , 24 mots 
  ok , pas de problemes .

Si vous l achetez d occase , il faut absolument le resetter  et ne surtout pas garder la seed du proprietaire precedent .
En effet , il y a eu il y a qq mois il y a eu une affaire où un mec a acheté un ledger d occase , livré avec un papier sur lequel il y avait les 24 mots .  bien evidement tout ce que le mec a versé sur son nano a été volé ... 

Salut a toi ! 🙂

N'aie aucune crainte tes cryptos sont bien gardées grace a ton Ledger.

Aucune inquiétude a avoir de ce côté la, du moment que personne n'a accès a tes 24 mots et code pin.

Meme utilisé sur une machine vérolée un ledger est inviolable mais pas les applications que tu utilises sur cette machine vérolée.

A ma connaissance (c'est peut etre pas un bon debut de réponse), le ledger n'est pas piratable. Il suffit juste d'acheter sur le site du fabricant, et d'être précautionneux, bien sauvegarder ses 24 mots, mettre un mot de passe dessus, et autres trucs classiques de précautions.

Bonsoir à tous !

Ledger Nano S, vraiment sécure ou peut-il être piraté? Je demande cela parce que j'ai acheté Ledger Nano S et je veux savoir si mon argent est en sécurité avec lui ou non.