Une équipe de chercheurs en sécurité à Berlin, a démontré à quel point il était facile de pirater les porte-monnaies de Trezor et Ledger et d’y avoir pleinement accès. L’équipe a pu démontrer cette manœuvre au cours une démonstration de hack à la conférence 35C3 Refreshing Memories. La procédure de piratage a été filmée dans une vidéo publiée le 27 décembre dernier.
Des démonstrations d’attaque de porte-monnaies matériels
L’équipe de chercheurs dénommée « Wallet.fail » est composée du concepteur de matériel et chercheur en sécurité Dmitry Nedospasov, le développeur de logiciel Thomas Roth et le chercheur en sécurité et ancien officier Josh Datko.
Les membres du groupe ont expliqué leur procédure visant à mettre la main sur la clé privée d’un porte-monnaie matériel de Trezor One.
Si l’utilisateur a instauré une phrase secrète pour protéger ses données, cette méthode sera vaine.
Pavol Rusnak, le directeur technique de Trezor et SatoshiLabs, a rapidement réagi aux critiques liées à la sécurité de Wallet.fail en précisant que la nouvelle ne lui a pas été transmise avant la divulgation publique et la démonstration de piratage. Cependant, la société remédiera aux vulnérabilités signalées avec une mise à jour prévu fin janvier.
Ledger Nano S et Ledger Blue présentent des failles dangereuses
Wallet.fail aurait installé un logiciel embarqué (firmware) sur le porte-monnaie Ledger Nano S.
« Nous pouvons envoyer des transactions malveillantes à la ST31 [la puce sécurisée] et les confirmer nous-mêmes [par le biais d’un logiciel,] et nous pouvons même aller montrer une transaction différente [pas celle qui est effectivement envoyée] à l’écran », a expliqué un membre de l’équipe.
L’équipe a pointé du doigt la vulnérabilité de Ledger Blue, un porte-monnaie matériel extrêmement cher doté d’un écran tactile couleur, qui fait perdre des signaux sous forme d’ondes radio. Lorsque l’utilisateur connecte un câble à l’appareil, ces signaux peuvent être suffisamment intenses pour que les malfaiteurs les captent à plusieurs mètres.
Selon Wallet.fail, un logiciel d’intelligence artificielle (IA) déployé sur cloud peut faciliter la copie du signal radio diffusé dès le branchement au câble.
Que pensez-vous des vulnérabilités présentes au sein des porte-monnaies matériels ? Donnez-nous votre avis dans la section des commentaires ci-dessous.
Note: There is a rating embedded within this post, please visit this post to rate it.