Sous le feu des projecteurs pour sa levée de fonds auprès d’investisseurs de la DeFi et du web3, la jeune entreprise belge NGRAVE fabrique un hardware wallet. Un portefeuille physique pour monnaies cryptographiques dont elle n’est pas peu fière, puisqu’elle le revendique comme « le plus sécurisé de la planète ». Slogan marketing ou prouesse technologique ?

Un petit joueur qui semble faire grande impression. Chez nos voisins du Nord, l’entreprise NGRAVE collectionne les félicitations pour le nouveau financement qu’elle a dernièrement bouclé avec une brochette d’investisseurs blockchain. 6 millions de dollars qui serviront à nourrir les ambitions mondiales de cette startup bruxelloise à la clientèle naissante mais décentralisée (elle a déjà des commandes dans 90 pays).

À peine sorti de la chaîne d’assemblage, son produit phare, le Zero, affiche déjà sold-out. La prochaine fournée ne sortira que le mois prochain. Il s’agit d’un cold wallet, un portefeuille matériel pour le stockage dit à froid, une conservation hors ligne des actifs numériques. Pris en main, cela ressemble à un GPS TomTom avec un écran tactile qui, au lieu d’afficher la route, inventorie des cryptomonnaies en tous genres. Mais la véritable particularité semble résider dans l’approche sécuritaire de l’appareil.

« Plus sûr que n’importe quelle banque »

« C’est le produit financier le plus sûr au monde », nous assure Ruben Merre, cofondateur et PDG de NGRAVE. Il base ses affirmations sur la certification de sécurité qu’a reçu son porte-cryptomonnaies, estampillé EAL7. « Ce qui le rend plus sûr que n’importe quelle banque ou solution de stockage de crypto existante, y compris les leaders du marché Ledger, qui affiche une norme EAL5+, et Trezor, qui ne dispose pas de certification

Pour les non initiés, le sigle EAL désigne un système d’évaluation de la sécurité des technologies de l’information (Evaluation assurance level). Le niveau EAL7 dont se targue NGRAVE tient effectivement le haut du classement puisque cela veut dire que sa conception a été testée formellement. Pour vérifier si le produit répondait aux exigences utilisées dans des environnements extrêmement risqué. Tout à fait le genre de situation avec les cryptomonnaies.

Tout semble passé au crible, des procédures d’installation et de démarrage à la résistance aux tentatives de pénétration, en passant par les cycles de vie (tests électriques, fiabilité des microcircuit, etc.)

Une affaire personnelle… suite à un hack massif

Les trois cofondateurs de NGRAVE y voient le résultat de leur implication « sans relâche » mais aussi de leur association avec des pointures des nanotechnologies, de la cryptographie et de la sécurité matérielle. La startup aime à rappeler qu’elle compte parmi ses conseillers plusieurs références de la crypto tels que Jean-Jacques Quisquater, pionnier de la blockchain cité par Satoshi Nakamoto dans le white paper de Bitcoin.

Mais il y a surtout un événement fédérateur à la base de cette passion quasi obsessionnelle chez les cofondateurs de NGRAVE pour la sécurité. Dans une (récente) vie antérieure, Xavier Hendrickx, le directeur techno de NGRAVE, avait pris part à un projet blockchain belgo-américain nommé SwarmCity, une dapp (application décentralisée) permettant d’effectuer des transactions de pair à pair. En 2017, le smart contract, via lequel cette entreprise crypto avait placé les fonds sur Ethereum lors de son émission de jetons (ICO), s’est fait hacker. Les cybercriminels ont disparu avec un butin de 44.000 ETH (quelque 86 millions d’euros au prix actuel du marché).

ngrave qr communication

« Jurant qu’on ne l’y prendrait plus, Xavier, avec l’aide d’autres hackers ‘white hat’, a exploité la vulnérabilité du smart contract et craqué de manière préventive environ 500 autres projets sécurisés de la même manière. Cela représentait à l’époque 208 millions de dollars à l’époque. Le problème a été résolu et les projets ont été remboursés », narre Ruben Merre, se remémorant le début de l’aventure NGRAVE.

Mais si le portefeuille crypto joue la carte de l’ultra-sécurité tout en ne boudant pas l’ergonomie, insiste le PDG. La gestion des actifs numériques se fait en jonglant avec son smartphone et son wallet qui est « entièrement hors ligne ». Ni USB, NFC, RFID, Wifi…

Il fallait oser : la startup promet une « clé parfaite »

Pour synchroniser les transactions de la blockchain, l’utilisateur génère donc un QR code sur une app mobile, surnommée Liquid, qu’il scanne ensuite avec la caméra du Zero. Quant aux risques liés aux clés privées des adresses où sont déposées les monnaies digitales, la startup bruxelloise a implémenté un procédé de génération de clé modestement baptisé « Perfect Key ».

« L’utilisateur interagit avec cette clé, toujours offline. Pour sécuriser le tout et supprimer les portes dérobées potentielles, NGRAVE ajoute au processus de génération de clé deux facteurs externes pour : la biométrie, avec un lecteur d’empreinte digitale, et la lumière », détaille le jeune pousse dans son livre blanc.

Oui, des capteurs de lumière. Sans en cerner les secrets techniques, selon la littérature scientifique, cette application de capteurs lumineux serait un moyen éprouvé d’augmenter le caractère aléatoire dans la génération de codes.

« Les résultats ont montré que les générateurs de nombres aléatoires basés sur les capteurs sont une source précieuse d’entropie avec des exigences très faibles en matière de mémoire RAM et Flash pour les appareils contraints de l’Internet des objets », conclut notamment à ce sujet une étude de l’Institut suisse des systèmes d’information HES-SO.