Le gagnant du « CatFight » de Ledger vs Trezor c’est … vous!

Ledger et Trezor, deux des plus grands fabricants de portefeuilles matériels, se disputent les vulnérabilités découvertes par Ledger dans les appareils de Trezor. Ledger a déclaré qu’ils avaient «accordé du temps à Trezor» pour résoudre les problèmes découverts. Trezor a répondu «Aucune de ces attaques ne peut être exploitée à distance», indiquant ainsi à Ledger de les laisser tranquilles. Néanmoins, le principal gagnant est l’utilisateur final, qui bénéficie ainsi d’une sécurité accrue.

Le problème a commencé lorsque Ledger a récemment révélé que Ledger Donjon, son équipe de sécurité, avait un laboratoire d’attaques dans son siège parisien, qu’ils utilisaient pour pirater leurs propres appareils et ceux de leurs concurrents afin d’exposer les vulnérabilités.

L’un des appareils qu’ils auraient réussi à pirater est le portefeuille matériel de Trezor, leur concurrent direct. Dans un article de blog traitant de l’histoire, l’équipe de Ledger écrit: «Il y a environ quatre mois, nous avons contacté Trezor pour partager cinq vulnérabilités découvertes par notre laboratoire d’attaques. Comme toujours, nous avons accordé à Trezor une période raisonnable pour travailler sur ces vulnérabilités, en leur accordant même deux prolongations». Le blog continue en disant que Trezor n’aurait pas répondu et que les deux périodes sont maintenant expirées.

Cette question a de nouveau été soulevée lors de l’événement MIT Bitcoin Expo ce dimanche, où Ledger a répété les vulnérabilités:

Cette fois, Trezor a finalement répondu.

«S’il est vrai que Ledger a signalé et communiqué avec nous, certains faits ont été présentés différemment lors de leur présentation, ce qui a conduit par inadvertance à une interprétation alarmiste des vulnérabilités. Pour cette raison, nous aimerions aborder les revendications formulées, les clarifier et y répondre en conséquence», ont-ils écrit dans un communiqué envoyé aux médias.

La déclaration officielle, publiée sur leur blog, indique que «aucune des attaques reportées par Ledger n’est exploitable à distance», ajoutant que, «tous les vecteurs d’attaque démontrés nécessitent un accès physique à l’appareil, à un équipement spécialisé, à du temps et à des contraintes techniques».

«En combinaison avec des mots de passe forts et aux principes de sécurité opérationnels de base, même les attaques physiques présentées par Ledger ne peuvent pas affecter les utilisateurs de Trezor», ajoute Trezor.

En attendant, bien que les utilisateurs s’accordent pour dire que Trezor a remporté le combat avec sa réponse, les véritables gagnants sont les utilisateurs eux-mêmes. Cette situation oblige les deux entreprises à maîtriser leur jeu du point de vue de la sécurité tout en les forçant à être transparentes avec leurs utilisateurs.

Felix Weis, utilisateur de Twitter, résume le problème dans un tweet: «Pensez à un portefeuille matériel comme un préservatif unique pour vos Bitcoins. Une utilisation correcte peut vous protéger de la grande majorité des grossesses non désirées. Mais cela ne vous protégera pas contre une ex-petite amie méchante ayant un accès physique à vos préservatifs».