Clé privée Ledger
-
Merci beaucoup pour vos réponses.
Y a-t-il un moyen de vérifier que la clé n’est pas corrompue ? Qu’elle est authentique ?
@Patpro tu dis que l’appli ledger vérifie ? -
@Lucas06 Oui, l’appli Ledger Live vérifie.
MAIS.
ça ne fait pas tout
On pourrait imaginer qu’une clé trafiquée à partir d’une vraie Ledger fonctionne normalement. Il se trouve que les analyses complémentaires du hack évoqué au dessus ont montré que les clés n’étaient pas fonctionnelles. Les types ont a priori viré un composant vital, mais ils s’en fichent car leur hack ne nécessite pas une Ledger fonctionnelle.Demain on pourrait peut être avoir une clé piratée qui fonctionne normalement et qui est vue comme légitime par l’application Ledger Live. J’écris peut être parce que si ça se trouve, le fait que les pirate aient neutralisé totalement la Ledger est fait dans le but de ne pas permettre à l’application d’analyser la clé et de détecter sa modification (elle ne verrait tout simplement pas la clé).
Ce qu’il ne faut pas perdre de vue c’est que le seul vrai moyen de voler les cryptos dans un portefeuille c’est de mettre la main sur la clé privée.
Soit tu t’arranges pour que l’utilisateur te donne le seed de la clé privée (c’est le cas de l’attaque dont on parle au dessus), soit tu voles le portefeuille ET le code PIN ou le mot de passe qui en verrouille l’accès.
Tu peux imaginer des scénarios où le pirate parvient à remplacer de manière invisible l’adresse de destination d’une transaction par une adresse qui lui appartient (pour recevoir des crypto que tu voudrais envoyer de ta Ledger à Binance, par exemple), mais compte tenu des gardes fous qui existent je pense qu’il faudrait être aveugle pour se faire avoir. -
@patpro ledger accepte le multisig ?
-
@Herc pas sur de comprendre ce que tu entends pas là
-
@patpro c’est un moyen de sécuriser ses btc. Pour faire une opération, type un envoi, il faut valider l’opération avec plusieurs portefeuilles.
Il faut plusieurs signatures pour valider le tx. Si on te prend la seed d’un wallet pour le vider il faudra au moins 2 signatures, donc 2 wallets différents !! ( Voir plus, si tu veux )
Je pense que ça sécurise pas mal ton Wallet !
🤟 -
@Herc En effet c’est intéressant. Je ne sais pas si les clés Ledger permettent ce type de fonctionnement. Mais déjà quand tu lances une transaction tu dois (peux) vérifier que la clé de destination est la même sur l’écran du Ledger et sur ce que tu as entré côté application sur l’ordi.
-
Pour aller plus loin avec cette histoire de portefeuille Ledger trafiqué, je viens de voir que MG est en train de se procurer des Ledgers d’occasion pour voir ce qui est bricolable. Autant dire qu’avec un hacker aussi compétent on devrait avoir des résultats intéressants bientôt
https://twitter.com/MG/status/1406309260485545990 -
Ça y est, MG a sorti sa première vidéo où il montre son propre hack d’un portefeuille Ledger.
J’adore ce qu’il fait -
Je vais me méfier de toi du coup !
:smiling_face_with_sunglasses: -
C’est plutôt de MG qu’il faut se méfier
Il fait aussi des trucs comme ça : https://shop.hak5.org/products/o-mg-cable-usb-a
(cable USB avec serveur web, wifi, keylogger, etc. intégrés)
