D’après Kraken, il est possible de récupérer la seed des portefeuilles matériels Trezor One et Model T en moins de 15 minutes. L’attaque nécessite toutefois une intervention physique.
Sur son site web, Kraken Security Labs a déclaré avoir découvert une faille critique sur les portefeuilles matériels de marque Trezor.
Selon la plateforme d’échange de crypto-monnaies américaine, l’attaque s’appuie sur du voltage glitching et permet d’extraire la seed, ou phrase de sauvegarde, cryptée du wallet.
Cette recherche initiale a nécessité un certain savoir-faire et plusieurs centaines de dollars d’équipement, mais nous estimons que nous (ou les criminels) pourrions produire en masse un dispositif de glitching convivial qui pourrait être vendu pour environ 75 $. Nous piratons la seed cryptée, qui est protégée par un code PIN de 1 à 9 chiffres, mais qui est cassable par force brute,” explique Kraken.
En outre, la faille étant directement liée au microcontroller présent dans le wallet, Trezor ne serait pas en mesure de régler le problème sans devoir repenser complètement son matériel.
Kraken conseille ainsi aux utilisateurs de Trezor One et T de ne jamais laisser personne accéder physiquement à l’appareil et d’activer la phrase secrète BIP39 via le client Trezor.
En réponse, le fabricant des portefeuilles Trezor, Satoshi Labs, n’a pas nié la faille mais minimisé les risques de piratage.
Il est important de noter que cette attaque n’est viable que si la fonction de Passphrase ne protège pas l’appareil. Pour effectuer cette attaque, l’auteur doit ouvrir physiquement le boîtier de l’appareil,” a écrit l’entreprise tchèque sur son blog.
D’autres équipes de spécialistes de la cybersécurité, comme Ledger Donjon, auraient également déjà effectué des variantes de cette attaque, sans toutefois dévoiler les détails publiquement.
Partager
Cryptonaute
Questions & Réponses (0)