Le harwallet Trezor hacké en 15 minutes !

 

L’équipe de sécurité Kraken Security Labs a publié un article le 31 janvier 2020 mettant en garde quant à une faille critique de sécurité sur les portefeuilles « hardwallet » de la marque leader de l’industrie Trezor. Il s’agit des modèles Trezor One et Trezor Model T :

L’attaque prend 15 minutes et nécessite un accès physique au Trezor. Cette attaque, dont les détails ont été révélés pour la première fois au grand public comprend deux étapes :

– il s’agit de provoquer un dysfonctionnement de tension sur le périphérique physique pour pouvoir extraire une clé privée cryptée. La recherche initiale publiée par l’équipe de Donjon Ledger nécessitait un certain savoir-faire et plusieurs centaines de $ d’équipement mais Kraken estime que pour 75$ des criminels seraient capables de produire un équipement plug-and-play permettant d’effectuer cette tâche.

– la clé privée étant cryptée mais protégée par un PIN de 1 à 9 chiffres, il est trivial de la décrypter à l’aide d’une technique « brute-force ».

On peut voir une vidéo publiée sur Youtube montrant l’attaque :

Les chercheurs en cyber-sécurité utilisent deux scripts en Python.

Le premier permet, grâce à ce que l’on appelle en anglais des « voltage glitch » de faire bugger le micro-controlleur utilisé dans les wallets Trezor.

Le second permet de brute-force l’encryptage basique de la clé privée.

Selon les chercheurs de Kraken, l’équipe de Trezor était au courant de ces failles dès la phase de conception de ces hardwallets. Plusieurs fabricants utiliseraient sciemment des puces non conçues pour le stockage de données sécurisées.

1,2 milliard de données utilisateurs divulguées

1,2 milliard de données utilisateurs divulguées

Les données privées de plus d'un milliard d'utilisateur ont fuité dans le cadre d'une de la plus grande fuite de données jamais révélée. Le 16 octobre 2019, les chercheurs en cyber-sécurité Bob Diachenko et Vinny Troia de Data Viper, ont découvert une base de données...

lire plus
Le CCPA un RGPD version californienne ?

Le CCPA un RGPD version californienne ?

La nouvelle réglementation pour la protection des données CCPA entre en vigueur le 1er janvier 2020, et les entreprises ont un temps limité pour se pencher sur leurs données utilisateurs et l’usage qu’ils en font. Si elles ne le font pas, elles risquent non seulement...

lire plus
Une commune polonaise sanctionnée pour défaut de PIA

Une commune polonaise sanctionnée pour défaut de PIA

Une commune polonaise sanctionnée pour défaut d’AIPD Le président de la CNIL polonaise a sanctionné une entité publique d’une amende administrative de 40,000 PLN (9300 €) pour non-respect du RGPD. Le maire de la ville n’avait pas fait réaliser d’analyse d’impact à la...

lire plus