#cryptonews #crypto2023 #dyor #BTC #security
Ledger, l'un des principaux fournisseurs de portefeuilles matériels de crypto-monnaie, a suscité une tempête de controverses au sein de la communauté crypto avec son dernier service, Ledger Recover. La fonction, basée sur l'identification de l'utilisateur (ID), vise à permettre la récupération des clés d'accès aux portefeuilles de crypto-monnaie. Cependant, cette annonce a suscité de vives critiques et des inquiétudes quant à la sécurité.
Ledger Recover, le nouvel outil, est conçu pour offrir une solution de sauvegarde en cas de perte d'une phrase de départ ou d'une phrase de récupération, qui est une clé secrète composée de 12 à 24 mots utilisée pour accéder à un portefeuille de crypto-monnaie et récupérer les fonds associés si nécessaire. .
Le nouveau service Ledger divise la phrase de récupération en trois fragments et les envoie à des tiers de confiance. Une fois combinées et décryptées, ces informations peuvent être utilisées pour reconstruire la phrase originale, comme le rapporte The Block.
Cependant, la proposition a déclenché un débat houleux parmi les utilisateurs et les experts en sécurité, principalement en raison de ses exigences de connaissance du client (KYC). Pour utiliser le service de récupération, les utilisateurs doivent fournir leur passeport ou leur document d'identité national pour confirmer leur identité. De nombreux passionnés de crypto-monnaie apprécient leur vie privée et trouvent cette exigence d’identification contradictoire avec les principes décentralisés des monnaies numériques.
"C'est une très mauvaise idée, N'activez PAS cette fonctionnalité", a conseillé Mudit Gupta, directeur de la sécurité chez Polygon Labs, sur Twitter. Ce sentiment a été repris par le célèbre investisseur en crypto connu sous le nom de « DC Investor », qui a déclaré : « Je ne recommanderais à personne de mettre à niveau un tel firmware. »
Gupta a défendu le concept de fragmentation de la phrase de départ, le considérant comme une étape positive. Cependant, il a souligné que les clés cryptées étaient envoyées à « 3 sociétés » qui pourraient potentiellement avoir la capacité de reconstruire la phrase.
La fonction Ledger Recover est incluse dans la dernière version 2.2.1 du micrologiciel pour les portefeuilles matériels Ledger Nano X. Actuellement, l'exigence d'enregistrement de l'identité s'applique aux utilisateurs de l'Union européenne, du Royaume-Uni, du Canada et des États-Unis, la société prévoyant d'ajouter à l'avenir la prise en charge des documents délivrés par d'autres gouvernements.
Selon Wired, le service coûtera 9,99 $ par mois et s'appuiera sur trois dépositaires : Ledger, Coincover et EscrowTech.
"C'est un désastre qui attend de se produire", a commenté un utilisateur de Reddit. "Je n'arrive vraiment pas à croire ce que je lis ; il semble insensé qu'un fournisseur de portefeuille matériel vous encourage à sauvegarder votre phrase initiale en ligne ET [AUSSI] à lui donner votre passeport/carte d'identité."
Bien que Nicolas Bacca, co-fondateur et vice-président du laboratoire d'innovation de Ledger, ait répondu aux préoccupations des utilisateurs sur Reddit, de nombreuses personnes ont réitéré leurs craintes concernant les pratiques de sécurité et la possibilité que des acteurs malveillants exploitent la fonctionnalité et accèdent aux clés, ce qui entraînerait la crypto-monnaie. vol.
Adrian Hetman, responsable technologique de la plateforme Web3 de bug bounty ImmuneFi, a souligné le risque associé à l'outil, déclarant qu'il offre la possibilité à un acteur malveillant ayant accès au passeport ou à la pièce d'identité d'un utilisateur de prendre le contrôle de ses fonds. "Le vol d'identité est courant, et cela exposerait les utilisateurs de crypto-monnaie à une nouvelle forme d'attaque", a déclaré Hetman à Decrypt.
Malgré les multiples critiques, Ledger a défendu sa nouvelle fonctionnalité de récupération. Dans un e-mail envoyé à The Block, un porte-parole de Ledger a expliqué que le processus de décryptage des trois fragments ne peut avoir lieu que sur l'appareil Ledger, après que l'utilisateur a vérifié son identité. Le porte-parole a souligné que les entreprises impliquées n’ont en aucun cas accès à la phrase de départ et qu’il s’agit d’un service payant.
Les trois sociétés qui sauvegardent les fragments « n'ont jamais accès à votre phrase de départ, elle n'est pas stockée « dans le cloud » et les sauvegardes ne sont cryptées, fragmentées et déchiffrées directement sur votre Ledger que si vous vous abonnez. Donc, si vous êtes un Ledger utilisateur qui souhaite utiliser votre Ledger comme vous l'avez toujours fait, vous pouvez toujours le faire sans souci. Rien ne change pour vous."
Ledger est l'un des plus grands fournisseurs de portefeuilles matériels pour les investisseurs en crypto-monnaie. L’entreprise a déjà fait l’objet de critiques, notamment après avoir été victime d’une violation de données en 2020 qui a révélé les numéros de téléphone, les adresses physiques de près de 300 000 clients et plus d’un million d’adresses e-mail.
