[accueil]
Cryptomonnaies : les mauvais conseils de Ledger en matière de sécurité
Charles Guillemet, responsable de la technologie (CTO) de Ledger (fournisseur de solutions de stockage hors ligne de Bitcoin et autres cryptomonnaies), s'est exprimé dans un podcast de Cryptoast. Nous ne partageons pas du tout ses avis en matière de sécurité sur certains points.
Son explication générale (un malware pourrait intercepter une clé privée en mémoire vive) est bonne. Ce qui l’est moins c’est son classement des probabilités de tomber sur un tel évènement en fonction du matériel utilisé. Tout d’abord, il déclare : « Les téléphones, en encore moins les ordi[nateur]s, ne sont pas du tout sécur[isés]. » Une telle déclaration est vraie pour les ordinateurs si on considère qu’ils fonctionnent sous Windows. Or une alternative est Linux, bien moins vulnérable, parce que les failles sont plus rapidement corrigées et que l’environnement est moins courant (cela freine la propagation des malwares). D’ailleurs, à ce jour, les malwares voleurs de fonds ou cryptofonds sont quasi-inexistants sous Linux comparé à Windows et à… Android (car, même si c’est ce dernier est basé sur Linux, c’est devenu au fil des modifications et rajouts une usine à gaz truffée de problèmes).
Un peu plus tard, le responsable de la sécurité de Ledger ajoute d’ailleurs « iOS est un peu moins sécurisé [qu’Android]. » Rien de moins vrai, selon nous. D’une part, comme le CTO lui-même le reconnaît, une proportion du parc de machines sous Android ne profite pas des dernières mises à jour de sécurité (Apple assure un support de plus de cinq ans, il est rare dans le monde Android d’avoir autant). Ensuite, même si on ne télécharge que sur le Google Play officiel, on n’est pas à l’abri d’un malware malgré les contrôles de Google ; il y a des incidents presque chaque mois, avec souvent des millions de victimes au final, alors que cela relève encore de l’anecdote chez Apple. Chez Apple justement, on nous rétorquera qu’il y a eu l’exploitation de failles façon Pegasus, mais ces attaques, compte tenu de leur coût élevé, ont été ciblées sur des opposants politiques, des journalistes, etc. Alors que dans le monde Android, des failles à faible coût ont été exploitées sur de plus grandes échelles : il suffit parfois aux pirates de diffuser de manière sauvage une fausse application en promettant mont et merveille pour pénétrer les téléphones d’utilisateurs trop naïfs. Toutefois, nous ne recommandons pas iOS non plus à cause de la tendance d’Apple à l’espionnite, même si la société s’en défend. Si vous voulez en savoir plus, nous nous permettons de partager avec vous nos propres conseils de sécurité pour protéger vos cryptomonnaies (mais pas que). Attention, on vous prévient : ils sont hard core !
Rappelons que Ledger a été piratée à quelques reprises. En avril et juin 2020, c'est le fichier clients de la société qui a été dérobé par des pirates, faisant craindre des tentatives d’hameçonnage. En décembre 2023, ce sont des utilisateurs du Ledger Connect Kit qui ont été détroussés de plus de 600 000 dollars. Invitée à plusieurs reprises pour une interview, la société Ledger n'a jamais souhaité répondre à nos questions.
Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !
Vous cherchez un ancien numéro ? Nous avons peut-être un exemplaire pour vous ! !
Certains liens présents dans cette page peuvent être affiliés. Sauf si c'est spécifié dans le texte, cela ne veut pas dire que la rédaction vous recommande les produits/services en question.
Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
[contact & legal & cookies] [since 1997]