Kraken cracke les wallets Trezor en 15 minutes
Aaaaaaand it’s gone – Les hardware wallets Trezor ne sont décidément pas à la fête. Après les équipes de Ledger Donjon en mars 2019, ce sont celles de Kraken qui ont réussi à exploiter une faille pour récupérer les clés privées stockées dans les hardwares wallets Trezor One et Trezor Model T. Explications.
Un Trezor dévalisé… en 15 minutes chrono
Dans une publication en date du 31 janvier, l’équipe de recherche et développement Kraken Security Labs explique comment elle a réussi à accéder aux seeds (phrases mnémoniques) des hardwares wallets de la marque Trezor.
La faille exploitée est de nature matérielle, ce qui fait qu’elle ne peut pas être corrigée, par exemple par une mise à jour logicielle. En seulement 15 minutes d’accès physique aux wallets Trezor, Kraken Security Labs détaille la méthode employée :
« Cette attaque s’appuie sur un problème de tension électrique [du microcontrôleur] pour extraire la seed chiffrée. Cette recherche initiale a nécessité un certain savoir-faire et plusieurs centaines de dollars d’équipement, mais nous estimons que nous (ou des criminels) pourrions produire en masse un dispositif de hacking facile d’usage, qui pourrait être vendu pour environ 75 $ ».
Une fois la précieuse seed exposée, il suffit de procéder à une attaque par force brute – tenter toutes les combinaisons possibles d’un mot de passe – sur son code PIN de 1 à 9 chiffres pour la décrypter.
Les équipes de Kraken ont précisé qu’elles avaient contacté celles de Trezor le 30 octobre 2019, pour les prévenir de la faille, avant de la rendre publique par cette présente publication.
Réponse de Trezor et contre-mesures de protection
Dans la même journée, Trezor a répondu aux annonces de Kraken. Après le constat et l’acceptation de la réalité de cette faille matérielle, ils précisent d’abord que la menace de vols par accès physique ne représenterait « que 6 à 9 % » des menaces des personnes, selon leurs recherches. Les menaces par attaque à distance (via internet principalement) concerneraient la grande majorité des cas.
Les équipes de Trezor expliquent également que l’activation de la passe-phrase BIP39 – un mot de passe supplémentaire pour accéder au wallet – élimine totalement le risque d’accès malveillant via la faille décrite par Kraken.
Les recommandations de sécurité de Trezor pour les utilisateurs de ses hardwares wallets sont, d’une part de veiller à ce que personne ne puisse accéder physiquement au wallet, et d’autre part d’activer la passe-phrase BIP39 décrite ci-dessus, venant se rajouter à la liste de 24 mots de la seed avant de permettre l’accès aux fonds stockés.
Bien que les hardwares wallets soient de loin un des modes les plus sécurisés pour conserver ses cryptomonnaies, ils ne sont pas forcément invulnérables. Doubler les mesures de sécurité via une double authentification (2FA), comme cette passe-phrase, peut paraître fastidieux. Pourtant, elle rajoute une couche de sécurité indiscutable, pour mieux garantir la sécurité de vos cryptos… même si elle rajoute une information capitale à stocker aussi précieusement que vos 24 mots.