Le fabricant de portefeuille matériel, Trezor, a reconnu ce 3 juin une faille de sécurité dans TROPIC01, la puce intégrée à son dernier modèle de portefeuille Safe 7, tout en assurant que les fonds des utilisateurs restent protégés et qu’aucune action n’est nécessaire.
Par une déclaration, L’entreprise a expliqué que la faille avait été détectée lors d’un audit indépendant et n’affecte qu’une seule des nombreuses couches de défense de l’appareil, sans compromettre les clés privées ou les sauvegardes.
La découverte est issue des tests effectués par Donjon, L’équipe de recherche en sécurité de Ledger, qui a réussi à contourner certaines protections de la puce dans un environnement de laboratoire avec des outils spécialisés.
Suite à cette découverte, Tropic Square, société sœur de Trezor et développeur de TROPIC01, a identifié une faiblesse qui pourrait exposer des informations supplémentaires stockées dans le composant. Néanmoins, Trezor a insisté sur le fait que cette situation n’ouvre pas la porte à l’accès aux fonds.
L’entreprise a souligné que Safe 7 ne dépend pas d’un seul élément pour protéger les actifs, mais d’un système de sécurité à plusieurs niveaux. Une défaillance partielle de la puce ne suffirait donc pas à prendre le contrôle d’un portefeuille.
En plus, Le scénario d’exploitation décrit par l’entreprise nécessite qu’un attaquant ait l’appareil entre ses mainsainsi que des équipements coûteux et des connaissances techniques avancées, ce qui réduit considérablement le risque pour la plupart des utilisateurs.
Trezor a également précisé qu’il n’y a aucune preuve d’utilisation malveillante réelle ou d’appareils compromis par cette vulnérabilité. En ce sens, la société a soutenu que les clients n’ont pas besoin de déplacer des fonds, de modifier les paramètres ou de prendre des mesures urgentes.
Le directeur des communications de Trezor, connu sous le nom de Danny S, a assuré via
D’un autre côté, il a déclaré : « C’est ainsi que la technologie se renforce au fil du temps. Je sais qu’entendre parler d’une vulnérabilité peut susciter certaines inquiétudes, mais vos fonds sont totalement en sécurité.
Il réitère ainsi qu’il n’y a aucune preuve d’une exploitation réelle ou d’utilisateurs concernés, et défend la divulgation ouverte des vulnérabilités comme une pratique qui .
L’entreprise a assuré que sa position consistant à rendre public l’échec de manière transparente Ce devrait être un modèle que le secteur devrait suivrecar cela renforce la sécurité de l’ensemble du secteur.
L’idée centrale, selon Trezor, est que Reconnaître les faiblesses n’affaiblit pas la confiancemais peut le renforcer lorsque la véritable ampleur du problème est clairement expliquée. Cependant, les conclusions se concentrent sur la sécurité des dispositifs d’auto-conservation et sur la nécessité d’audits constants, même entre entreprises concurrentes.
Pour les utilisateurs, le message principal est celui de la tranquillité d’esprit : il n’y a aucun signe de vol, ni d’exposition des clés privées, ni de compromission des copies de sauvegarde. Quand même, L’épisode nous rappelle que la sécurité d’un portefeuille matériel ne dépend pas uniquement de l’appareilmais aussi le contrôle physique, la protection de la phrase de récupération et le soin des informations sensibles.
