Bitcoin Forum>Local>Français>Discussions générales et utilisation du Bitcoin
Pages:
Author

Topic: Trezor cracké -- Une attaque physique extrayant la seed existe, patch impossible - page 2. (Read 549 times)

Hypolite
legendary
Activity: 1245
Merit: 1027
Re: Trezor cracké -- Une attaque physique extrayant la seed existe, patch impossible
July 05, 2019, 05:40:23 AM
#3
Quote from: GrosWesh on July 05, 2019, 04:54:37 AM
J'ai l'impression qu'il y a longtemps qu'on trouve des hacks reussis sur ces wallets physique. Un gamin de 15 ans avait fait parler de lui à ce sujet si je ne raconte pas de bétises.

En dehors de ça,ce qui me fait marrer, c'est la façon d'agir de Ledger, via son Ledger Donjon : disséquer les produits de la concurrence pour mieux pointer du doigt les problèmes. (J'en avait déja parlé vite fait ici : https://bitcointalksearch.org/topic/ledger-decouvre-des-failles-sur-les-wallets-trezor-5121448).

Ils ont intérêt à être irréprochables, car le retour du baton sera violent... Perso j'utilise un Nano x et le moins que je puisse en dire c'est que c'est encore largement perfectible ne serait ce qu'au niveau compatibilité/accessibilité. Chez moi, seul brave (qui gère parfaitement le u2f) m'a permit d'accéder à mes fonds via mew/mycrypto. Exit firefox, Opera, Chrome rien n'a marché, des heures de prise de chou .... Je m'éloigne un peu du sujet, mais je voulais juste souligner qu'avant d'aller pointer du doigt les problèmes chez les autres, Ledger ferait mieux de se concentrer sur ses produits imo...





Je suis resté bau Nano S, qui a fait largement ses preuves 😁 de plus je ne suis pas fan du bluetooth 😅
GrosWesh
legendary
Activity: 2450
Merit: 1448
Re: Trezor cracké -- Une attaque physique extrayant la seed existe, patch impossible
July 05, 2019, 04:54:37 AM
#2
J'ai l'impression qu'il y a longtemps qu'on trouve des hacks reussis sur ces wallets physique. Un gamin de 15 ans avait fait parler de lui à ce sujet si je ne raconte pas de bétises.

En dehors de ça,ce qui me fait marrer, c'est la façon d'agir de Ledger, via son Ledger Donjon : disséquer les produits de la concurrence pour mieux pointer du doigt les problèmes. (J'en avait déja parlé vite fait ici : https://bitcointalksearch.org/topic/ledger-decouvre-des-failles-sur-les-wallets-trezor-5121448).

Ils ont intérêt à être irréprochables, car le retour du baton sera violent... Perso j'utilise un Nano x et le moins que je puisse en dire c'est que c'est encore largement perfectible ne serait ce qu'au niveau compatibilité/accessibilité. Chez moi, seul brave (qui gère parfaitement le u2f) m'a permit d'accéder à mes fonds via mew/mycrypto. Exit firefox, Opera, Chrome rien n'a marché, des heures de prise de chou .... Je m'éloigne un peu du sujet, mais je voulais juste souligner qu'avant d'aller pointer du doigt les problèmes chez les autres, Ledger ferait mieux de se concentrer sur ses produits imo...



yogg
legendary
Activity: 2464
Merit: 3158
Re: Trezor cracké -- Une attaque physique extrayant la seed existe, patch impossible
July 05, 2019, 04:27:40 AM
#1
https://ledger-donjon.github.io/Unfixable-Key-Extraction-Attack-on-Trezor/

Comme ils disent, je vais juste rapidement traduire le TL;DR :

Quote
TL;DR

An attacker with a stolen device can extract the seed from the device. It takes less than 5 minutes and the necessary materials cost around 100$. This vulnerability affects Trezor One, Trezor T, Keepkey and all other Trezor clones. Unfortunately, this vulnerability cannot be patched and, for this reason, we decided not to give technical details about the attack to mitigate a possible exploitation in the field. However SatoshiLabs and Keepkey suggested users to either exclude physical attacks from their threat model, or to use a passphrase.

Un attaquant avec un appareil dérobé peut extraire la seed de l'appareil. Ca prend moins de 5 minutes et le matériel nécessaire coute environ 100$.
Cette vulnérabilité affecte les Trezor One, Trezor T, Keepkey et tout les autres clones de Trezor.
Malheureusement, cette vulnérabilité ne peut pas être patchée et pour cette raison, nous avons décidé de ne pas donner de détails techniques à propos de l'attaque, pour mitiger le risque réel d'une exploitation de cette attaque. Toutefois, SatoshiLabs et Keepkey suggèrent à leur utilisateurs d'exclure les attaques physiques de leur modèle de menaces, ou d'utiliser une passphrase.

 Roll Eyes Roll Eyes



De toute façon, tant que votre modèle de menace inclut le risque physique, que vous ayez un Trezor ou n'importe quoi .. C'est un peu compliqué quoi.  Undecided
Pages:
Bitcoin Forum>Local>Français>Discussions générales et utilisation du Bitcoin
Jump to: