Pages:
Author

Topic: Les hardwarewallets (Read 928 times)

legendary
Activity: 2604
Merit: 2353
September 19, 2024, 02:49:15 PM
#51
Quote
HWW airgap : pas très important. Le plus important étant que la seed ne sorte pas du SE.
C'est effectivement le plus important mais comment en être sûr? Comment le vérifier si on veut respecter le principe "Don't trust, verify"? Ledger assurait que c'était impossible sur ses appareils avant de sortir une fonctionnalité qui le faisait bel et bien...
Pour contrôler cela l'un des moyens les plus simples reste l'utilisation d'un appareil air gapped amha. Avec recopie à la main de la transaction, photographie de la tx et utilisation d'un logiciel OCR, ou plus simplement décodage du QR code pour vérifier ce qu'il contient. Il ne faut pas oublier que chaque mot d'une seed correspond à un rang dans le dictionnaire. Et que ce nombre converti en hexadécimal ou sexagésimal par exemple, ne représente que quelques caractères. Une seed a donc la capacité d'être facilement transmise si l'on est pas prudent.
F2b
hero member
Activity: 2140
Merit: 926
September 19, 2024, 12:33:41 PM
#50
Oui faut éviter le model one. Peu de crypto et on n'a pas d'info sur la puce.
Je pensais partir sur le safe 3 ou 5.
"peu d'info sur la puce" -> apparemment le One n'a pas de secure element. D'où le peu d'infos. Donc pour quelques euros de plus, effectivement le Safe 3 me semble plus indiqué.
"peu de cryptos" -> étonnant, dans leur comparatif ils disent "plus de 1000 cryptos suportées" pour les 3 modèles. Ou alors c'est une limite de mémoire, du style tu ne peux pas en avoir plus de X simultanément ? (Personnellement ce n'est pas un critère de choix, mais pour certaines personnes ça peut être bon à savoir.)

J'ai peu de altcoins, je hold que le top 20 voir top 10.
C'est bien ; tu verras, dans quelques années, tu n'auras plus que le top 1 Tongue

Je viens de remarquer que Tangem n'est pas dans la liste alors que l'entreprise Suisse existe depuis 2017.
[...]
Vous en pensez quoi du produit?

J'aurais tendance à éviter tout produit qui n'a pas son propre écran, car je trouve important de pouvoir vérifier ce que l'on signe sans devoir faire confiance à un périphérique externe (PC, smartphone) potentiellement compromis. (Edit : encore pire si on ne peut l'utiliser qu'avec une seule application)
Mais je conçois qu'il y a un marché pour ce type de produits abordables et déjà mieux qu'un simple hot wallet.



Ça faisait un bout de temps que j'avais mis le sujet des hardware wallets de côté, mais je m'y penche à nouveau un peu (en prenant le temps). Un jour, il faudra que je prenne le temps de faire un vrai comparatif, depuis le temps que j'y pense.

En attendant, je ne sais pas si ça a été partagé ailleurs sur le forum (j'ai beauuuucoup de retard à rattraper), mais depuis quelques mois Renaud Lifchitz a "sorti" une présentation sur la sécurité des HWW, qui est assez intéressante. Je ne sais pas si on la trouve sur internet (il était venu la faire à Lille en Avril), mais il y a quelques jours HowToBitcoin a sorti une interview reprenant tous les points essentiels. (+ les slides sont en description de la video)

Et pour ceux qui ont la flemme de tout regarder et veulent juste un résumé, j'ai pris quelques notes vite fait :
Premiers critères :
- présence d'un secure element (SE)
- présence d'un écran (sinon on fait confiance à un appareil (PC, smartphone) potentiellement compromis)

Audit Critère Commun / EAL = note sur 7 ; cartes bancaires doivent avoir la note 5+ --> on peut donc considérer que la même note peut être exigée du SE d'un HWW

- Le firmware doit être au maximum open-source, sauf le SE (car SE open-source = souvent pas assez de budget pour payer des audits)
NB. peut-on modifier facilement le firmware, ou doit-il être signé des éditeurs ? (2ème solution meilleure car moins de risque de supply chain attack)

Principaux risques sur les HWW :
- risque supply chain : composants matériels ou logiciels remplacés par des composants compromis, lors de l'expédition ou après, par ex. un HWW reflashé par un colocataire ou un HWW commandé à un faux revendeur
- backup de la seed (c'est le plus important, largement plus que le choix du HWW en lui-même)

HWW airgap : pas très important. Le plus important étant que la seed ne sorte pas du SE.

Un problème (pour +/- tous les HWW) : la seed peut sortir du SE, si le SE n'est pas capable de signer la transaction. Par ex. le SE de la plupart des HWW peuvent signer des transactions legacy directement, mais ne sont souvent pas capables de signer des tx Taproot --> la clé privée est temporairement extraite du SE et le message est signé dans le microcontrôleur (hors SE).

Edit: t'es vif @Halab Cheesy

Edit 2 : justement, dans ce contexte, j'avais entendu parler de Ngrave qui serait EAL 7... et finalement en creusant un peu c'est uniquement leur soft qui l'est, mais le secure element, bien sûr, n'est "que" EAL 5+, ce qui est déjà très bien d'ailleurs, et ça n'enlève rien au fait que c'est probablement un très bon HWW (j'ai pas creusé).
hero member
Activity: 504
Merit: 1065
Crypto Swap Exchange
September 06, 2024, 03:47:33 AM
#49
Merci, je ne connaissais pas le forum. Je vais retester par mail car je voulais communiquer en privé.

D'ailleurs, je viens de tomber sur ça : https://forum.trezor.io/t/contacting-support-via-email-or-other-ways-without-recaptcha/10681
Quote
SatoshiLabs offer email support after you’ve made a ticket.

Il est possible qu'ils ne te répondent pas si ta demande n'est pas liée à un ticket ouvert (si je comprends bien?).

Au pire, tu peux toujours les appeler si tu parles anglais (ou tchèque !)..
jr. member
Activity: 42
Merit: 27
September 05, 2024, 04:55:20 PM
#48
J'ai contacté Trezor il y a 1 mois, avec le mail @satoshilabs.com trouvé sur leur site web et je n'ai jamais eu de réponse. Je pense relancer.

As-tu essayé de laisser un post sur leur forum ? https://forum.trezor.io/

Il me semble que c'est le moyen le plus rapide d'être en contact avec eux (hors commande en cours, dont le support se fait par mail).

Merci, je ne connaissais pas le forum. Je vais retester par mail car je voulais communiquer en privé.
hero member
Activity: 504
Merit: 1065
Crypto Swap Exchange
August 19, 2024, 08:46:46 AM
#47
J'ai contacté Trezor il y a 1 mois, avec le mail @satoshilabs.com trouvé sur leur site web et je n'ai jamais eu de réponse. Je pense relancer.

As-tu essayé de laisser un post sur leur forum ? https://forum.trezor.io/

Il me semble que c'est le moyen le plus rapide d'être en contact avec eux (hors commande en cours, dont le support se fait par mail).
jr. member
Activity: 42
Merit: 27
August 19, 2024, 08:37:19 AM
#46
La dernière MAJ de Tangem sur Android, l'appli est traduite a 100% en fr depuis quelques jours. C'est vraiment top pour un débutant.

J'ai contacté Trezor il y a 1 mois, avec le mail @satoshilabs.com trouvé sur leur site web et je n'ai jamais eu de réponse. Je pense relancer.
hero member
Activity: 1820
Merit: 775
August 08, 2024, 02:57:14 PM
#45
Bon dès que j'ai un peu de temps, je rajoute ceux que j'ai oublié. Bisous
jr. member
Activity: 42
Merit: 27
August 04, 2024, 08:20:26 AM
#44
Ellipal n'est pas dans la liste non plus.

A propos de Tangem :

- il faut avoir la carte et le téléphone pour pouvoir utiliser l'application et faire des transactions ? (pb : je n'aime pas gérer mon wallet avec le téléphone)
- Je crois que la V1 ne donnait pas l'accés à la seed ? (redhibitoire pour moi). Si j'ai bien compris la V2 permet de la voir ?
- peut on rentrer sa propre seed, par exemple celle que l'on utilise déjà avec Electrum ou Ledger ?

Ellipal j'ai failli acheter pour tester. Mais ce n'est pas opensource. Et j'ai lu sur reddit des gens qui ont perdu de l'argent. Est ce qu'on peut faire confiance à une entreprise asiatique?
Surtout que les wallets sont bradés, on peut facilement avoir entre 10 à 50% de réduc sur les produits.

Dans le même genre mais opensource il y a Ngrave mais c'est beaucoup plus cher. C'est une entreprise Belge.

-Tangem oui faut tout faire via smarphone + carte NFC (appli iOS et Android seulement)
-Oui tangem V2 permet de voir la seed, c'est une nouveauté suite à une demande de la communauté. Tu verras la seed à la création et tu devras écrire sur un papier.
-Oui on peut importer une phrase mnémonique de 12, 18 ou 24 mots. BIP44 BIP32 ou BIP39.

hero member
Activity: 2856
Merit: 917
August 04, 2024, 03:05:28 AM
#43
Ellipal n'est pas dans la liste non plus.

A propos de Tangem :

- il faut avoir la carte et le téléphone pour pouvoir utiliser l'application et faire des transactions ? (pb : je n'aime pas gérer mon wallet avec le téléphone)
- Je crois que la V1 ne donnait pas l'accés à la seed ? (redhibitoire pour moi). Si j'ai bien compris la V2 permet de la voir ?
- peut on rentrer sa propre seed, par exemple celle que l'on utilise déjà avec Electrum ou Ledger ?
jr. member
Activity: 42
Merit: 27
August 03, 2024, 08:35:51 PM
#42
Bonjour

Je viens de remarquer que Tangem n'est pas dans la liste alors que l'entreprise Suisse existe depuis 2017.

La 1ere carte génère aléatoirement la seed et on peut faire une copie sur 2 autres cartes. On a une option pour voir la seed ou ne pas la voir (changement irréversible après la création du wallet). Tangem conseil de ne pas voir la seed pour des raisons de sécurité.
La carte est garantie 25 ans et intègre une puce Samsung EAL 6+.

L'application android et ios sont opensource. (github)

En plus d'un mot de passe, on peut rajouter l'empreinte digital pour les transactions. Si on oublie le MDP, on peut le changer si on possède 2 cartes sur les 3.

Ca m'a l'air plus sécurisé que Ledger. Ledger si une personne trouve ta seed papier tu es foutu. (vol, perquisition ou autre). Tangem si une personne trouve 1 carte, il ne pourra rien faire, car il faut le mdp. Idéalement il faudrait cacher et séparer les 3 cartes.
Je n'ai pas encore testé la restauration du wallet sur un autre smartphone. Faudrait que je test pour voir si il demande bien un mdp. Pour l'empreinte digital je suppose que c'est seulement pour l'application et non lié à la carte.

Vous en pensez quoi du produit?

jr. member
Activity: 42
Merit: 27
July 08, 2024, 07:25:13 AM
#41
Trezor je n'ai pas encore testé mais d'après ce que j'ai vu il serait le plus sécurisé et le meilleur rapport/qualité prix. Et il est open source.

+1 pour Trezor qui fait très bien le boulot

Cependant selon le modèle que tu utilises, il proposera peu de cryptos aussi (à peine plus que Satoship)i, si tu es très orienté altcoins ça peut avoir de l'importance
Oui faut éviter le model one. Peu de crypto et on n'a pas d'info sur la puce.
Je pensais partir sur le safe 3 ou 5.
Il n'est pas dans le comparatif, mais on trouve le model T aussi sur le site web.

J'ai peu de altcoins, je hold que le top 20 voir top 10.
hero member
Activity: 504
Merit: 1065
Crypto Swap Exchange
July 08, 2024, 06:41:39 AM
#40
Trezor je n'ai pas encore testé mais d'après ce que j'ai vu il serait le plus sécurisé et le meilleur rapport/qualité prix. Et il est open source.

+1 pour Trezor qui fait très bien le boulot

Cependant selon le modèle que tu utilises, il proposera peu de cryptos aussi (à peine plus que Satoship)i, si tu es très orienté altcoins ça peut avoir de l'importance
jr. member
Activity: 42
Merit: 27
July 08, 2024, 06:21:10 AM
#39
Bonjour


Ngrave semble pas mal et open source. Mais vu le prix je n'ai pas encore testé.

J'avais aussi repéré Ellipal, mais il n'est pas opensource.
Ledger a testé Ellipal, et ils ont réussit à bruteforce le wallet en quelques minutes. Il y avait une faille et ont prévenu Ellipal. J'ai lu ca sur le blog de ledger. J'ai aussi vu de nombreux vols sur wallet Ellipal, ce qui me met le doute.

Satoship est peu cher mais il prend peu de crypto. BTC, ETH, LTC et Bitcoin Cash

Ledger nano S a trop peu de mémoire avec le wallet btc et ETH après on n'a plus de place. Et c'est chiant de devoir installer et réinstaller a chaque fois. Et c'est un risque de sécurité
Les MAJ hardware sont très longue, plus de 5min alors que la clé a 56ko de mémoire.
Ledger n'est pas opensource aussi.

Trezor je n'ai pas encore testé mais d'après ce que j'ai vu il serait le plus sécurisé et le meilleur rapport/qualité prix. Et il est open source.
legendary
Activity: 2576
Merit: 1248
September 01, 2023, 08:49:37 PM
#38
Après ils te suffirait de carrément couper (physiquement) l'antenne, si tu comptes le dédier à l'utilisation de cette app..

Mais ce qui serait intéressant c'est d'avoir  quelque chose genre de quoi faire tourner l'app et l'écran ..

Il y'avait récemment cette nouvelle de ce jeune français qui avait, et mettait à disposition comment fabriquer soit-même son téléphone pour moins de 30 euros..  alors faire une tablette-wallet serait plus simple !

ha ouais... Oula je suis pas chaud pour bricoler comme ça moi haha Smiley

C'est facile t'inquiètes.. on sait tous à peu près où devrait se situer une antenne de téléphone mobile Grin alors juste un petit coup de marteau ou de clé à molette par là et safi ,  le reste du smartphone ne devrait pas être affecté par ça !  🤣🤣🤣


https://paxo.fr





Non, un device avec juste écran et caméra pour moyen de transfert c'est déjà ça question sécurité !
legendary
Activity: 2450
Merit: 1448
September 01, 2023, 08:39:49 PM
#37
Après ils te suffirait de carrément couper (physiquement) l'antenne, si tu comptes le dédier à l'utilisation de cette app..

Mais ce qui serait intéressant c'est d'avoir  quelque chose genre de quoi faire tourner l'app et l'écran ..

Il y'avait récemment cette nouvelle de ce jeune français qui avait, et mettait à disposition comment fabriquer soit-même son téléphone pour moins de 30 euros..  alors faire une tablette-wallet serait plus simple !

ha ouais... Oula je suis pas chaud pour bricoler comme ça moi haha Smiley



legendary
Activity: 2576
Merit: 1248
September 01, 2023, 08:20:12 PM
#36
J'ai pensé à ce thread on découvrant aujourd'hui l'application 'Airgap'.

https://airgap.it/

Je ne l'ai pas personnellement testée mais sur le papier ça semble intéressant. Elle permet de transformer un téléphone dont on ne se sert plus en hardware wallet ('the vault') hors ligne et signer les tx avec votre smartphone de tous les jours.

"vous pouvez signer des transactions complètement hors ligne sur un appareil sans aucune connectivité réseau avec l'application AirGap Vault et les diffuser avec votre smartphone de tous les jours avec l'application AirGap Wallet."

A tester éventuellement, bien que je suis sur que certains ici ont déja recours à ce genre de chose avec BTC d'eux mêmes sans appli. L'intêret de cette dernière étant la prise en charge d'un grand nombre d'assets differents (dont tous ceux non pris en charge par ledger etc...).

 



Après ils te suffirait de carrément couper (physiquement) l'antenne, si tu comptes le dédier à l'utilisation de cette app..

Mais ce qui serait intéressant c'est d'avoir  quelque chose genre de quoi faire tourner l'app et l'écran ..

Il y'avait récemment cette nouvelle de ce jeune français qui avait, et mettait à disposition comment fabriquer soit-même son téléphone pour moins de 30 euros..  alors faire une tablette-wallet serait plus simple !
hero member
Activity: 504
Merit: 1065
Crypto Swap Exchange
August 27, 2023, 03:28:15 AM
#35
Oui il ya une seule carte par boite.

Je viens de regarder, de mon cote, j'en ai reçu 5 avec mon Nano S, je ne sais plus en quelle année je l'ai acheté malheureusement.

J'ai donc un Ledger quelque part

J'espère que tu le retrouveras, ou que tu retrouveras une autre carte quelque part avec un peu de chance..
hero member
Activity: 2856
Merit: 917
August 26, 2023, 05:45:49 PM
#34
Tu veux dire que le problème a disparu de ton appareil, ou disparu avec les nouvelles fabrications?
Le problème a disparu de mon appareil.

Le problème se manifestait de la façon suivante: quand je saisissais un chiffre pour le code pin, c'etait un autre chiffre qui était pris en compte (le suivant ou le précédent). Je n'ai plus ce problème et je n'ai pourtant pas changé de ledger.
copper member
Activity: 2940
Merit: 4101
Top Crypto Casino
August 26, 2023, 05:02:26 PM
#33


Quote
Mais il semble que ce problème ait disparu.

Tu veux dire que le problème a disparu de ton appareil, ou disparu avec les nouvelles fabrications?

J'ai justement un autre ledger de secours pour ce portefeuille, mais en ouvrant la boite, tout y était (cable, ect) ... sauf le ledger lui même Roll Eyes
Je me suis dis que j'ai dû l'utiliser pour y mettre des coins, même comme il y a la carte dans la boite...

J'ai donc un Ledger quelque part
hero member
Activity: 2856
Merit: 917
August 22, 2023, 01:57:06 AM
#32
J'ai également eu un problème de faux contact avec ma ledger nano S, ce qui m'avait conduit à rater 3 fois la saisie de mon code pin et donc à rentrer de nouveau ma seed. Mais il semble que ce problème ait disparu.

Par sécurité, il me semble interessant d'avoir une autre ledger de secours.

Oui il ya une seule carte par boite.

Pages:
Jump to: