Une équipe de chercheurs a démontré les faiblesses des porte-monnaies matériels

Une équipe de chercheurs a démontré les faiblesses des porte-monnaies matériels

Actualités
2 janvier 2019 par Clémentine

Une équipe de chercheurs en sécurité à Berlin, a démontré à quel point il était facile de pirater les porte-monnaies de Trezor et Ledger et d’y avoir pleinement accès. L’équipe a pu démontrer cette manœuvre au cours une démonstration de hack à la conférence 35C3 Refreshing Memories. La procédure de piratage a été filmée dans une vidéo publiée le 27 décembre dernier.

Des démonstrations d’attaque de porte-monnaies matériels

L’équipe de chercheurs dénommée « Wallet.fail » est composée du concepteur de matériel et chercheur en sécurité Dmitry Nedospasov, le développeur de logiciel Thomas Roth et le chercheur en sécurité et ancien officier Josh Datko.

Les membres du groupe ont expliqué leur procédure visant à mettre la main sur la clé privée d’un porte-monnaie matériel de Trezor One.

Si l’utilisateur a instauré une phrase secrète pour protéger ses données, cette méthode sera vaine.

Pavol Rusnak, le directeur technique de Trezor et SatoshiLabs, a rapidement réagi aux critiques liées à la sécurité de Wallet.fail en précisant que la nouvelle ne lui a pas été transmise avant la divulgation publique et la démonstration de piratage. Cependant, la société remédiera aux vulnérabilités signalées avec une mise à jour prévu fin janvier.

Ledger Nano S et Ledger Blue présentent des failles dangereuses

Wallet.fail aurait installé un logiciel embarqué (firmware) sur le porte-monnaie Ledger Nano S.

« Nous pouvons envoyer des transactions malveillantes à la ST31 [la puce sécurisée] et les confirmer nous-mêmes [par le biais d’un logiciel,] et nous pouvons même aller montrer une transaction différente [pas celle qui est effectivement envoyée] à l’écran », a expliqué un membre de l’équipe.

L’équipe a pointé du doigt la vulnérabilité de Ledger Blue, un porte-monnaie matériel extrêmement cher doté d’un écran tactile couleur, qui fait perdre des signaux sous forme d’ondes radio. Lorsque l’utilisateur connecte un câble à l’appareil, ces signaux peuvent être suffisamment intenses pour que les malfaiteurs les captent à plusieurs mètres.

à lire aussi :  A. Favre & Fils lance sa première montre équipée d’un porte-monnaie

Selon Wallet.fail, un logiciel d’intelligence artificielle (IA) déployé sur cloud peut faciliter la copie du signal radio diffusé dès le branchement au câble.

Que pensez-vous des vulnérabilités présentes au sein des porte-monnaies matériels ? Donnez-nous votre avis dans la section des commentaires ci-dessous.

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Sois le PREMIER à voter)
Loading...

Add a comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

X
X