Prémice de faille dans la ledger nano S ???
-
Bonjour,
J’ai mis dernièrement une vidéo sur Ledger concernant une inspection contre une rétro-ingénierie sur le puce sécurisé contenant les clés privé des wallets. Nous avons pu voir qu’il n’étais pas possible de lire la zone de stockage des clé privé grâce a un maillage qui détruirai les bits de données si on essayais de la retiré. Bon ceci dit avec une sonde ionique focalisé alors zen il en existe peu, et très peu de riches particuliers pourrai s’en payer une déjà!!! en tout cas c’est pas avec des microscope a 10.000 balles que vous réussirez !!! déjà!!! bref c’est sécure sachant qu’en + ca y est stocké crypté.
Je me suis posé une question logique: mais j’attends parlé de porte caché (backdoor), de cheval de Troie. Donc oui il faut le ledger live officiel, mais faut avoir confiance en ledger aussi. On va dire qu’ils sont sérieux, ils fabriquent les coffres-forts et porte monnaie du futur, vu le marché potentiel autant être sérieux ;).
Enfin ma dernière question: qu’en est-il des backdoor matériels? Les backdoor hardware? Certain modèle de disque dur en possède vous pouvez le formater en ce que vous voulez faut sortir le fer a souder au risque de détruire le disque au final
Donc je suis tomber sur une fausse faille du Ledger nano S concernant sa puce non sécurisé (il y a 2 puce 1 sécurisé stockant les clés privé et une autre de controle materiel on va l’appeler
.
bref, une “faille” (ca deviens du language pro est-ce une faille, un crack, un hack, excusez moi de mon inculture) permet l’injection d’un code dans la clé qui contrôle tout. Ceci dit pas de panique, c’était connu des créateur et y’a pas vraiment de faille, a priori! pour que la puce sécurisé crache les clés privé il y a un rituel d’identification auprès de celle-ci qui vérifia que la puce non sécurisé est bien officiel et qu’elle est toute clean… il faudrait injecter un code qui ferai passer la fausse pour la vrai auprès de la 2eme donc faudrait un programme très lourd, trop lourd pour la puce.
il faut qu’elle simule auprès de la puce sécurisé qu’elle est vraie et cette étape, personne ne l’a fait, apparemment juste lui faire simuler son authenticité n’est pas possible donc zen c’est sécure… pour le moment:N’oubliez jamais que la sécurité se parle au présent. Donc ? Prémices ou fausse alerte?? En tout cas la ca va
la vidéo:
-
@lelievre3129 heureusement que la vidéo est plus claire et compréhensible que ce descriptif : intéressante.
-
@Nammalvar bonjour, Oui surement!!! je ne suis pas un pro… j’ai compris ou étais la fausse faille … j’ai essayer tant bien que mal de l’expliquer afin que ceux qui iront voir la vidéo sans prendre la peine de chercher (certains seront rebuter par le fait que ce soit en anglais) je ne voulais pas qu’ils aient toute suite une vision négative sur ledger en se disant juste “a ben ca y’est , tu as vu, ils l’ont cracké” c’est pas si simple, je ne cherche ni a porter préjudice ni a en faire une pub, j’ai juste trouver le sujet très intéressant et j’ai voulu le partager au mieux
…
Si tu as une façon + pédagogique que moi d’expliquer cette non-faille je veux bien éditer et y incorporé du texte c’est sans souci car je reconnai que j’ai du mal a expliquez clairement l’étape d’identification avant que la puce sécurisé ne crache les clés privé … mais la faut s’y connaitre aussi en électronique, comprendre ou se situe le programme oui je conseil de voir la vidéo pour mieux comprendre et de prendre la peine de lire la traduction si vous ne parlez pas anglais
