compteur d'accès web gratuit

Trezor répond aux allégations de vulnérabilité du grand livre

Ledger a accusé hier son concurrent Trezor de vulnérabilités 5, dont certaines n’ont pas encore été corrigées. Nous en avons parlé hier dans notre Roundup quotidien. Hier, Trezor a répondu aux allégations par un article de ce blog. Trezor a répondu aux cinq vulnérabilités que Ledger les accusait de ne pas avoir corrigées.

Attaque de la chaîne d'approvisionnement

Ledger a écrit lundi que „[U] n attaquant pourrait acheter plusieurs appareils, les détourner en arrière, puis les renvoyer en leur demandant un remboursement (en utilisant la période de retrait) ".

Le fabricant tchèque de portefeuilles de quincaillerie a répondu de manière générale en déclarant queLes attaques en chaîne sont un problème permanent pour tous les périphériques matériels (pas seulement les portefeuilles).«Il est intéressant de noter que Trezor n’a pas précisé que les portefeuilles Grand Livre étaient susceptibles de subir les mêmes attaques. Comme c'est ce que Ledger essaie de suggérer.

Protection sécurisée du code PIN

La deuxième vulnérabilité, citée par Ledger sous „Protection sécurisée du code PIN“, comme le fait remarquer Trezor sous „Logiciel Crappy Attack “: «Lors des tests de la base de code Trezor, les chercheurs de Ledger n’ont trouvé que deux problèmes, confirmant que notre code résiste bien aux acteurs malveillants. Bien que ces vulnérabilités soient inexploitables, nous les avons quand même corrigées. “

Attaque latérale

La troisième vulnérabilité est une attaque dite du canal latéral qui nécessite un accès physique à un périphérique. Trezor félicite Ledger pour avoir mené avec succès une telle attaque. Cependant, ils affirment que "Ce vecteur d'attaque a été fermé par un back-portage permettant de stocker des données sur le Trezor Model T sur Trezor One."

Multiplication scalaire d'attaque de canal latéral

La quatrième vulnérabilité, appelée «Multiplication scalaire d’attaque de canal latéral», impose à un attaquant d’avoir accès au code PIN, au mot de passe et au périphérique d’un utilisateur. Par conséquent, Trezor conclut: „De toute façon, l'attaquant peut envoyer tous les fonds du périphérique matériel de toute façon.

Attaque finale concluante

La dernière vulnérabilité rapportée par Ledger est l'attaque finale surprise. Une vulnérabilité qui ne concerne pas uniquement les portefeuilles matériels. Selon le blog de Trezor, la société a été «surprise par l'annonce de ce problème par Ledger». Surtout après «avoir explicitement demandé à Ledger de ne pas faire connaître le problème, en raison de possibles implications pour l'ensemble du secteur des puces, au-delà des portefeuilles matériels, tels que industries médicale et automobile. “

La société tchèque déclare en outre être en pourparlers avec le fabricant de ses puces (ST). Par conséquent, il assure qu'il ne pourrait fournir aucun détail supplémentaire.

Trezor a clos son article de blog en indiquant que «[n] o le matériel est indéchiffrable et, en fonction de votre modèle de sécurité, il existe des outils que vous pouvez utiliser pour atténuer les menaces» et en donnant à leurs utilisateurs des conseils ultimes pour une utilisation en toute sécurité de leurs trezors.

Précédent "
Suivant »