Trezor, Ledger Nano S ou autre ?
-
Grosse faille de sécurité révélée récemment chez ledger aussi :
https://medium.com/@thepariscormier/how-to-hack-a-ledger-hardware-wallet-c38a4ac49d59
-
@tizz a dit dans Trezor, Ledger Nano S ou autre ? :
Grosse faille de sécurité révélée récemment chez ledger aussi :
https://medium.com/@thepariscormier/how-to-hack-a-ledger-hardware-wallet-c38a4ac49d59Mouais…
REMEDIATION —
When depositing funds, there may be a small monitor button that appears on the bottom right of the receiving screen.En gros, pour éviter le problème, cliquez sur le bouton qui est justement là pour ça. J’appelle ça une faille dans l’interface chaise-clavier personnellement
-
@tizz ca me fait bien rire pour le coup. Ce n’est pas une faille logiciel, mais une faille humaine (comme d’habitude). Et pour le coup que ce soit Ledger, Trezor et cie, ils sont tous logé à la même enseigne.
Sinon sur le fait que les wallets tournent sur Chromium (et Chrome), je ne vois pas où se trouve le problème. Ledger n’envoie pas de donné à Google (après est ce que Google récupère des données d’utilisation je n’en sais rien), et il ne faut pas oublier que niveau sécurité c’est du costaud. Chromium est le plus résistant aux différentes attaquent et Google corrige rapidement les failles de sécurité si il y en a. Alors qu’avec un soft propriétaire on a plus de chance d’avoir des failles (car moins testé).
-
La faille vient de JavaScript qui tourne en parallèle de Chrome et dans lequel un hacker peut insérer une adresse de réception qui lui appartient sans que le possesseur du ledger ne s’en rende compte à moins de vérifier les adresses à chaque fois (renouvelée à chaque nouvelle transaction).
-
@tizz Peu importe le hardware wallet, il ne faut pas faire aveuglément confiance a ce qui est affiché sur l’écran (celui du PC). Il existe une infinité de manières d’altérer ce qu’affiche un PC vérolé. La vérité est sur la clé.
-
@chocapeek c’est sûr mais ce que je relève c’est que pour accéder ou transférer à la vérité il faut passer par une interface obligatoire, qui elle, peut te mentir.
Beaucoup de personne ne sont pas au courant de ça car on leur rabâche que les walllets physiques c’est le top et qu’il n’y a pas mieux niveau sécurité.Il faut juste noter que ce n’est pas infaillible non plus
-
@tizz en l’occurence qu’affiche le ledger est correcte, c’est ce qui est affiché sur l’ordinateur qui ne l’est pas. C’est d’ailleurs pour cela qu’il y a des wallets physiques, car on sait qu’un ordinateur peut “facilement” est vérolé.
Encore une fois, le ledger n’a pas été hacké. Malheureusement Ledger (ou n’importe quel autre acteur) ne pourra jamais protéger l’ordinateur de l’utilisateur, d’où le fait de bien vérifier les infos que la clé t’affiche.
-
Finalement ces wallets physiques ont le bénéfice de la relative simplicité. Mais le plus fiable reste la génération offline sur un ordi complètement déconnecté de la toile.
-
@ubik2097 Tes monnaies, une fois transférées sur ton ledger seront complètement offline. Ou sinon si tu n’as confiance qu’en toi même tu as la solution paper wallet
-
@mickabup
Je viens de recevoir un mail de Trezor qui vient de mettre à jour (enfin de remettre à plat) leur logiciel. Qu’en pensez-vous? -
Aucune idée, j’ai une ledger
-
@ubik2097 a dit dans Trezor, Ledger Nano S ou autre ? :
Finalement ces wallets physiques ont le bénéfice de la relative simplicité. Mais le plus fiable reste la génération offline sur un ordi complètement déconnecté de la toile.
Tu as un exemple de wallet avec génération offline ?
A chaque fois cela se fait online tous ceux que j’ai testé
-
@tizz
Oui: MyCrypto (ETH & ERC-20), Neotracker (NEO), Bitcoinpaperwallet (BTC), pour ne citer qu’eux et qui permettent de télécharger le générateur offline via github.C’est le moyen le plus sûr même si le plus contraignant, en sachant que dès que tu entreras ta clef privée pour émettre le wallet sera potentiellement affaibli d’où la nécessité d’en créer un nouveau et de verser le montant de l’un vers l’autre.
-
@ubik2097 MyCrypto je connais et ils ne proposent pas de wallet offline, la génération de private key se fait via leur site, donc en ligne (comme MEW)
Ou c’est moi qui n’ai pas trouvé l’autre moyen ?
-
-
@ubik2097 Ah ouais nickel merci
Je me garde ça sous le coude je le fais ce week-end !