Commentaires : Cryptomonnaies : Archos a-t-il les moyens techniques et matériels de se rêver en Ledger ?

blockchain
cryptomonnaie
ledger
Tags: #<Tag:0x00007f920bc8c4a0> #<Tag:0x00007f920bc8c2e8> #<Tag:0x00007f920bc8c130>

#1

L’une est en petite forme financière, l’autre est à l’aube d’une nouvelle jeunesse : Archos et DomRaider, deux entreprises qui forment une drôle d’alliance pour concurrencer Ledger. L’une est un constructeur français pratiquant l’import depuis la Chine de smartphones entrée de gamme (notamment la marque Nubia) qui a vécu avec difficultés les dernières années et l’arrivée des Chinois sur le marché français, plus durement encore que Wiko. L’autre transforme son juteux, mais simple business d’enchères sur les noms de domaine en…. Publié sur https://www.numerama.com/tech/331640-cryptomonnaies-archos-a-t-il-les-moyens-techniques-et-materiels-de-se-rever-en-ledger.html par Corentin Durand


#2

Il faut faire attention à ce que dit Ledger en parlant de son élément sécurisé de manière exagérément glorifiée. En réalité, l’ajout d’un “élément sécurisé” n’est pas plus (ou moins) sécurisé qu’une autre puce, c’est juste une philosophie différente.

En effet, la puce est totalement opaque et personne ne sait se qu’elle fait, si elle est fiable ou même si il y a une backdoor (très loin donc, de la philosophie des cryptomonnaies open-source).
TREZOR, et c’est un choix, a décidé de proposer une technologie totalement transparente, fondamentalement incompatible avec les puces STM.


#3

Si la version du STM32 contient la technologie TrustZone disponible notamment sur Cortex M33
(https://www.arm.com/products/security-on-arm/trustzone).
Celui ci pourrait donc embarqué un TEE (https://www.op-tee.org) compatible GP.
Par contre la certification ne devrait pas dépasser EAL4+.


#4

Mais ne résiste pas à un pishing de base. Il suffit de modifier l’adresse de versement pour récupérer frauduleusement l’argent transféré.
C’est bien beau de vanter la conception du SoC quand c’est la logique même du produit qui est défectueuse.
Personne ne va s’amuser à tenter une attaque en canaux cachés qui demande de démonter le dispositif pour l’instrumenter alors que l’on peut détourner des millier de transactions depuis son canapé avec de bonne vielle méthode de pishing.

Au contraire, les applications. c’est le point faible. On peut faire tourner n’importe quoi dessus, dont une extension qui échangera les adresse de payement à l’insu de l’utilisateur.


#5

Désolé de le dire, mais ça fait quand même un peut publi communiqué pour le Nano S de Ledger, encore plus quand on va interroger le concurrent qui, étonnamment, trouve que le produit qui pourrait leur prendre des parts de marché n’est pas un bon produit, et ça, sans le remettre en perspective, notamment avec les très bonnes remarques de twSraXHD, 0live etT82135. La sécurité par l’obscurité a clairement des limites, on aurait aimé plus de neutralité dans l’approche de cet article.


#6

*un peu
pardon.


#7

"fondamentalement incompatible avec les puces STM"
Le MCU utilisé dans le trezor est un… STM32…