Le ledger nano n'est pas totalement sécuritaire... on s'en doutait
Ce matin j'ai reçu une notification sur telegram de Ian Balina concernant le Ledger Nano S.
C'est le "wallet" externe que j'utilise et même si je m'en doutais, j'ai quand même été surpris de voir qu'il était relativement facile de "cracker" le Nano S.
Sur son blogue, Saleem Rashid décrit comment il a réussi à le faire et explique même la procédure pour y parvenir. Si vous êtes un (gros) brin technique, vous pouvez reproduire le hack et comprendre la procédure... Ce qui n'est pas mon cas.
Saleem Rashid rapporte aussi qu'il n'a pas reçu de "bounty" de la part de Ledger.
Un "bounty" c'est un montant d'argent qu'une compagnie donne quand un individu arrive à démontrer qu'il y a une faille dans un système. L'entreprise peut alors corriger le problème et éviter que des personnes mal attentionnées utilisent la faille pour frauder la compagnie ou les utilisateurs.
Donc en évitant de recevoir une récompense (il n'a pas besoin de signer des documents l'empêchant de révéler la faille) il a publié l'article sur son blogue et en a fait profiter la communauté.
Je pense que tu parles de cet article. C'est toujours bien de citer ses sources..
Si c'est le cas, la news date de plus d'un mois.
La procédure décrite par Saleem est tout sauf simple à effectuer, touche aussi d'autres hardware wallets et de nombreuses corrections ont été apportées par Ledger depuis, dont la version 1.4.2.
Concernant le bounty, Ledger a renforcé son programme ces derniers mois, et la dernière actu le concernant date de ce matin.
Enfin, concernant Ian Balina.. il aurait mieux fait d'utiliser un Ledger et il aurait surement gardé ses tokens :
Et comme dit l'article, ou ce type est un pur idiot, ou il essaye juste de frauder le fisc (ce qui revient au même). Alors, son avis sur la sécurité d'un hardware wallet..
Bah, l'important à retenir reste que le Nano S a été craqué et que les prochaines versions le seront probablement aussi. Il y aura toujours des voleurs pour forcer les coffres-forts.