Trezor répond à Ledger suite aux 5 failles découvertes
La société Trezor a répondu à Ledger, ce dernier avait mis en évidence cinq failles présentes sur les hardwares wallets Trezor One et Trezor T.
La réponse de Trezor
Nous vous en parlions hier, Ledger a publié un article mettant en évidence 5 failles présentes sur les hardwares wallets de son concurrent Trezor. Dans ce même article, Ledger a avancé que seuls deux des failles avaient été patchées, il n’en aura pas fallu plus à Trezor pour émettre une réponse.
Nous ne parlerons pas ici des failles qui ont été affirmées patchées par Ledger dans son article.
Décacheter le sceau d’authenticité
Tout d’abord, la possibilité de décacheter le sceau d’authenticité du produit est selon Trezor un problème commun à tout type de matériel hardware. Ils ajoutent qu’il est impossible pour le hardware de s’auto inspecter et de se déclarer authentique. Ledger y serait tout autant vulnérable.
L’attaque par analyse de trafic
Pour ce qui est de l’attaque par analyse de trafic, Trezor reconnaît que la performance de l’équipe de Ledger est impressionnante, cependant la cette faille ne peut être exploitée que si l’on a connaissance du code PIN. Cette attaque n’est plus réalisable depuis que la faille touchant le code PIN a été corrigée (faille également mise en lumière par Ledger).
Les attaques par Flash memory bumping
Pour finir, les attaques par Flash memory bumping ont surpris Trezor sachant que c’est Ledger qui leur avait demandé de ne pas en parler. Ces attaques ne peuvent être corrigées et concerneraient l’ensemble de l’industrie. Cependant, Trezor rappelle que ces attaques nécessitent d’importantes ressources, un équipement de laboratoire ainsi qu’une expertise approfondie.
Trezor a corrigé le tableau des failles fournies par Ledger, relativisant les allégations :
La publication se conclut sur un message à l’attention de ses utilisateurs :
« Si vous êtes un utilisateur Trezor et que vous craignez des attaques physiques contre l’appareil, nous vous recommandons d’activer l’option passphrase-protected wallet, de préférence avec plusieurs mots de passe pour éviter tout déni plausible. Les mots de passe atténueront complètement ce vecteur d’attaque. »