Getting your Trinity Audio player ready...
|
Dernière modification effectuée le 11.09.2023 01:34
Dans un monde où les crypto monnaies règnent, la sécurisation des actifs numériques est devenue la préoccupation primordiale. Ledger, la société de hardware wallet basée en France, a été à la pointe de ces efforts de sécurité. Pourtant, sa prochaine fonctionnalité, Ledger Recover, a suscité une certaine inquiétude dans la communauté crypto. Ce service de récupération de clés basé sur l'identité fournit une sauvegarde pour la seed phrase (Phrase de Récupération Secrète) de l'utilisateur, qui est la forme lisible par l'homme de la clé privée. Toutefois, pour utiliser ce service de récupération, les utilisateurs devront fournir un passeport ou un permis de conduire, ce qui déclenche également des préoccupations en matière de confidentialité.
Charles Guillemet, CTO de Ledger, a accepté de répondre à nos questions. Ses réponses seront partagées dans cet article dès leur réception.
Décodage du service Ledger Recover
Ledger Recover est un service novateur qui cherche à rendre la propriété de la clé privée plus accessible aux masses. Le service divise une phrase de récupération de portefeuille en trois parties cryptées, appelées ‘shards', (éclats) et les distribue à Ledger, à la firme de garde de crypto Coincover, et à la société d'entiercement de code EscrowTech. Si un utilisateur perd sa phrase de récupération, deux des trois shards peuvent être combinés (après un contrôle d'identité réussi) pour retrouver l'accès aux fonds verrouillés. En substance, pour un tarif de 9,99 $ par mois, Ledger Recover vise à offrir une couche de sécurité supplémentaire aux propriétaires d'actifs crypto.
Les implications de sécurité du nouveau service
Bien que le nouveau service de Ledger offre un filet de sécurité, il a suscité des interrogations sur la manière dont ce processus est mis en œuvre. Si la clé privée était divisée à l'intérieur de l'appareil Ledger ou entre plusieurs appareils Ledger, cela aurait pu être un ajout bienvenu aux protocoles de sécurité. Mais Ledger Recover adopte une approche différente. Après avoir fragmenté et chiffré la clé privée, il envoie une partie à Ledger, une à Coincover et une autre à EscrowTech. Cela soulève des questions sur l'accessibilité des clés privées et leur exposition à des tiers.
Bien que totalement optionnel, le service Recover a subi des attaques de certains membres de la communauté. Un post Reddit sur la nouvelle fonctionnalité Ledger Recover l'a qualifiée de “désastre en attente“. Le poste résume les arguments contre la fonctionnalité en soulignant les dangers du partage de seed phrase en ligne – en faisant référence à la violation de données de Ledger en 2020, avant de générer de nombreuses impressions sur les réseaux sociaux. Pourtant, Ledger assure que la phrase de récupération n'encourt aucun risque.
En effet, tant que le chiffrage de la seed phrase est réalisé de manière adéquate, aucun risque ne devrait être encouru pour l'utilisateur.
La clé privée : une question de confiance et de compromis
L'agitation sur les médias sociaux concernant la nouvelle fonctionnalité de Ledger a mis en lumière la confiance inhérente et les compromis entre commodité et sécurité dans l'utilisation des portefeuilles matériels. Les appareils de Ledger, dont six millions d'unités ont été vendues, ont toujours nécessité un certain niveau de confiance de la part de l'utilisateur. Si l'achat d'un appareil compact est pratique, les utilisateurs doivent faire confiance à l'entreprise, car ils ne savent pas ce qui se trouve à l'intérieur du matériel à moins de le fabriquer eux-mêmes.