LES HACKERS PEUVENT EXPLOITER LE PORTEFEUILLE MATÉRIEL DE TREZOR DANS UN DÉLAI DE 15 MINUTES D’ACCÈS PHYSIQUE

Posté le février 1, 2020 à 6:19

LES HACKERS PEUVENT EXPLOITER LE PORTEFEUILLE MATÉRIEL DE TREZOR DANS UN DÉLAI DE 15 MINUTES D’ACCÈS PHYSIQUE

Kraken Security Labs a récemment effectué une tentative de piratage sur le matériel de crypto-monnaie de Trezor. L’équipe de sécurité a découvert que les hackers n’ont besoin que de 15 minutes avec l’appareil pour pirater leur système. Kraken a déclaré que la vulnérabilité se trouve dans le matériel du portefeuille et qu’il est presque impossible de la corriger.

Cependant, la société de sécurité a mentionné que les utilisateurs peuvent toujours assurer une protection solide de leurs biens en utilisant la phrase de passe BIP39 et en s’assurant que personne d’autre n’a le contrôle physique de leurs biens.

Les hackers pourraient utiliser une attaque par perturbation de tension

Dans un blog hier, Kraken a dit que les hackers pourraient essayer d’exploiter les perturbations de tension et d’extraire des graines cryptées de Trezor T et de Trezor un modèle de portefeuille. La société de sécurité a déclaré qu’ils peuvent effectivement réussir même avec un temps d’accès limité à l’appareil.

Au vu de cette vulnérabilité, M. Kraken a conseillé aux utilisateurs de faire très attention à leurs détails de sécurité et de toujours utiliser la fonction de phrase de passe BIP39 au sein de la plateforme. Selon M. Kraken, cela permettrait aux hackers de ne pas divulguer leurs informations et de protéger leurs biens.

Trezor est au courant de la vulnérabilité

Le billet de blog indique que Trezor a toujours été au courant de la vulnérabilité de la plateforme depuis sa conception. Avant que Kraken n’annonce publiquement la vulnérabilité, elle a souligné qu’il avait contacté Trezor en octobre de l’année dernière et avait révélé les détails de ses conclusions.

Entre-temps, une autre équipe de sécurité, Ledger Donjon, a également effectué des recherches similaires sur Trezor et a découvert la même vulnérabilité.

Nick Percoco, l’officier de sécurité de Kraken, a déclaré que la vulnérabilité provient du microcontrôleur utilisé dans le portefeuille de Trezor, ce qui explique pourquoi la faille est difficile à corriger même si Trezor en est conscient.

Il a déclaré que la faille est intégrée dans le matériel, et que toute tentative de réparer la faille peut corrompre le matériel et le rendre inutilisable. Il est donc impossible de mettre en place une mise à jour officielle pour corriger la faille pour tous les clients, à moins que Trezor ne veuille reconcevoir le nouveau matériel en partant de zéro. C’est le dilemme auquel Trezor est confronté en ce moment. Il considère le coût de développement d’un autre appareil et le défi de sécurité que la faille représente pour l’entreprise et ses clients.

L’attaque n’est pas possible avec la phrase de passe BIP39

Après l’article du blog de Kraken, Trezor a tweeté une réponse officielle à la recherche menée par Ledger en mars de l’année dernière. D’après le tweet de Trezor, il sera très difficile pour les attaquants d’infiltrer le système à distance. De plus, le représentant a déclaré que les utilisateurs pourront les bloquer avec succès en activant la phrase de passe BIP39.

Il a déclaré qu’il y a moins de risques d’attaque en raison de la vulnérabilité liée à l’accès physique. Le tweet poursuit en indiquant que les utilisateurs qui utilisent l’accès physique dans le cadre de leur modèle de menace doivent activer la phrase de passe BIP 39. Mais il y a un hic ici. Le principal problème est le fait que la phrase de passe n’est pas disponible sur toutes les plateformes d’utilisateurs puisqu’il s’agit d’un ajout facultatif. Cela signifie qu’environ 7% des utilisateurs qui ne disposent pas actuellement de cette fonctionnalité peuvent être vulnérables à une attaque.

Les chercheurs en sécurité ont confirmé les affirmations de Trezor en soulignant que l’attaque réussie du logiciel de Trezor n’aurait pas été possible s’il y avait eu une phrase de passe BIP39. Sur la base de ces constatations, les chercheurs ont conseillé aux utilisateurs d’inclure la phrase de passe supplémentaire dans leur portefeuille et de s’assurer qu’ils ont le contrôle total de l’accès physique à leur portefeuille Trezor.

Exploits de vulnérabilité similaires réalisés sur le portefeuille KeepKey

Outre son attaque sur Trezor, Kraken a également effectué un contrôle connexe sur le portefeuille KeepKey. Elle a découvert que les puces n’étaient pas destinées à protéger des biens ou à garder des secrets. Les experts en sécurité ont conseillé de ne pas dépendre entièrement de KeepKey et de Trezor pour la protection de la cryptomonnaie.

Kraken a déclaré que cette découverte a été rendue publique afin de sensibiliser les utilisateurs à cette vulnérabilité et de leur donner la possibilité de protéger leurs biens. L’équipe de sécurité a conclu que les utilisateurs du portefeuille et la communauté Bitcoin doivent être conscients de la situation pour prendre des mesures de précaution et éviter d’être victimes d’une attaque.

«Il s’agit pour nos clients et pour les utilisateurs de la communauté Bitcoin de prendre conscience qu’ils doivent prendre des précautions supplémentaires lorsqu’ils utilisent un porte-monnaie électronique pour s’assurer que leurs graines sont protégés», a-t-il déclaré. 

Summary
LES HACKERS PEUVENT EXPLOITER LE PORTEFEUILLE MATÉRIEL DE TREZOR DANS UN DÉLAI DE 15 MINUTES D'ACCÈS PHYSIQUE
Article Name
LES HACKERS PEUVENT EXPLOITER LE PORTEFEUILLE MATÉRIEL DE TREZOR DANS UN DÉLAI DE 15 MINUTES D'ACCÈS PHYSIQUE
Description
Kraken Security Labs a récemment effectué une tentative de piratage sur le matériel de crypto-monnaie de Trezor. L'équipe de sécurité a découvert que les hackers n'ont besoin que de 15 minutes avec l'appareil pour pirater leur système. Kraken a déclaré que la vulnérabilité se trouve dans le matériel du portefeuille et qu'il est presque impossible de la corriger.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading