Problème de faille sur le téléphone Saga de Solana ? CertiK rate sa cible
Le téléphone Solana en danger ? En juin 2022, les équipes de Solana ont annoncé Saga, un « téléphone crypto ». Celui-ci avait été alors présenté comme le compagnon idéal pour interagir avec l’écosystème Web3. Cependant, une récente vidéo de Certik remet en doute la sécurité de l’appareil.
Solana Saga : une faille identifiée par Certik
CertiK est une entreprise spécialisée dans l’audit et les analyses de sécurité dans l’écosystème crypto.
Ainsi, le 15 novembre, les équipes de CertiK ont publié une vidéo accablante pour le Saga, le téléphone mobile lancé par Solana.
La vidéo publiée sur X (Twitter) est accompagnée d’un message avertissant les détenteurs du Solana Saga :
« Notre dernière exploration révèle une importante vulnérabilité du chargeur de démarrage du téléphone Solana, ce qui représente un défi non seulement pour cet appareil, mais aussi pour l’ensemble du secteur. Notre engagement à renforcer les normes de sécurité est inébranlable. »
Message de CertiK sur X.
Dans la vidéo, nous pouvons voir un développeur réussir à dérober l’ensemble des BTC stockés sur le téléphone.
Ni une, ni deux, il n’en aura pas fallu plus pour enflammer la toile. D’une part, les détracteurs de Solana y voient une occasion de taper sur le projet. De l’autre, les amateurs d’Android ayant déjà mis les mains dans le cambouis arrivent à déceler le pot aux roses.
Solana dément les allégations
Finalement, quelques heures après la publication de CertiK, les équipes de Solana ont adressé la nouvelle sur Discord.
Sans grande surprise, Solana a fermement démenti l’affirmation de CertiK. Selon Solana :
« La vidéo ne révèle aucune vulnérabilité connue ni aucune menace pour la sécurité des détenteurs de Saga. »
Pour Solana, la vidéo montre uniquement un utilisateur ayant déverrouillé le bootloader. Une fonctionnalité qui est d’ailleurs présente sur la majorité des téléphones Android.
Pour rappel, le bootloader d’Android est une sorte de programme d’amorçage qui s’exécute avant le démarrage de tout système d’exploitation sur un appareil. Il est possible de le changer afin d’installer des systèmes d’exploitation personnalisés.
Ainsi, comme le souligne Solana, pour pouvoir dérober les cryptomonnaies, le hacker doit avoir au préalable déverrouillé le bootloader, ou avoir la chance de tomber sur un téléphone où l’utilisateur l’a déjà fait.
Sauf qu’en pratique, déverrouiller le bootloader n’est pas si trivial. Il faut pour cela avoir un accès physique au téléphone, qui doit être en plus de cela déverrouillé. Comme souligné par Solana, la manœuvre nécessite plusieurs étapes explicites et celle-ci est même désactivée par défaut sur les Solana Saga.
« Le déverrouillage du bootloader n’est pas une faille de sécurité. L’utilisateur doit explicitement autoriser de tels changements sur son appareil, et ces changements ne peuvent être effectués que par un utilisateur autorisé du téléphone. »
D’autant plus, le déverrouillage du bootloader entraîne généralement une réinitialisation complète du téléphone. Une mesure de sécurité a été mise en place par Android, afin d’empêcher l’accès non autorisé aux données personnelles si l’appareil est perdu ou volé.
Enfin, Solana rappelle que le Seed Vault est l’élément de sécurité central pour sécuriser vos phrases sur le Saga. Toutefois, il semblerait que celui-ci n’ait pas été activé par CertiK pour sa vidéo.
Le Saga est-il vraiment en danger ?
Finalement, il semblerait que la vulnérabilité sur le Saga dévoilée par CertiK n’en était pas réellement une.
Ainsi, pour dérober vos fonds le hacker a deux solutions.
Soit, vous avez de votre propre chef déverrouillé le bootloader et désactivé le Seed Vault, dans ce cas le Saga est aussi sécurisé que tout autre téléphone Android.
Si vous n’avez pas fait cela, il devra déverrouiller le bootloader, et confirmer les étapes grâce à votre code ou empreinte digitale. Sauf qu’on le rappelle, les données sont effacées lors du déverrouillage du bootloader. Donc le hacker se retrouve avec un téléphone sans données, et où il ne pourra tout de même pas accéder au Seed Vault.
Ainsi, oui, l’exemple de CertiK fonctionne dans le cadre d’un laboratoire. Mais dans la vraie vie, hors du labo, difficile de dérober vos cryptos sur le Saga.
Un nouveau coup dur pour CertiK, dont la réputation ne cesse de se dégrader. En 2023, au moins 3 protocoles qui avaient été audités par CertiK ont finalement été exploités où un été des exit scam.
C’était notamment le cas de Sturdy Finance, qui a été auditée par 3 entreprises dont Certik. Finalement, le 12 juin 442 ETH sont dérobés dans les pools du protocole.