Une brèche sur la sécurité des portefeuilles matériels de Trezor a été dévoilée par Kraken Security Labs dernièrement. La plateforme a notamment réussi à extraire des données sensibles de chiffrement sur le modèle T en utilisant un hardware glitch, le tout en moins de 15 minutes.
Une faille au niveau des micro-contrôleurs
Afin d’éprouver la sûreté des wallets de Trezor, Kraken Security Labs a tenté de passer outre les barrières logicielles et physiques du portefeuille modèle T en envoyant des pics de tensions au niveau des micro-contrôleurs.
En profondeur, les testeurs ont utilisé un matériel physique qui coûte environ 75 dollars pour compromettre les deux dispositifs afin d’accéder aux contenus. A cet effet, le laboratoire explique :
« Cette attaque démontre que la famille STM32 de microcontrôleurs Cortex-M3 / Cortex-M4 ne doit pas être utilisée pour le stockage de données sensibles telles que les seed cryptographiques même si celles-ci sont stockées sous forme chiffrés ».
You know what to do.
.—.
/ |________________
| () | ________ _ _)
|/ | | | |
`—` "-" |_|#ProofOfKeys— Trezor (@Trezor) January 3, 2020
Un problème minimisé par Trezor
Bien que Trezor ait pris connaissance de cette faille depuis longtemps, il continue de négliger le degré de risque inhérent à ces attaques en invoquant un processus chronophage et difficile pour les pirates.
Comme la société l’a expliqué, l’accès physique à l’appareil, l’accès à un équipement spécialisé ainsi que le temps qu’il faut affecter à l’opération réduiraient largement les possibilités de corruption du système.
Pourtant, les analystes de Kraken ont prouvé qu’à partir d’un matériel de 75 dollars, d’un laps de temps de 15 minutes, le processus est rapide et facile à exécuter.
Que pensez-vous de ces failles logicielles et matérielles découvertes par Kraken sur les portefeuilles matériels de Trezor ? Pensez-vous que le constructeur doit revoir son système de sécurité pour réduire les risques de piratage ? Donnez votre avis dans la section commentaires.
Note: There is a rating embedded within this post, please visit this post to rate it.