Le firmware ou micrologiciel constitue l'épine dorsale de tout portefeuille matériel, gérant la sécurité et les fonctionnalités. Certains portefeuilles disposent d'un micrologiciel actualisable, permettant des améliorations et de nouvelles fonctionnalités, tandis que d'autres utilisent un micrologiciel non actualisable pour éliminer le risque de mises à jour malveillantes.
Cependant, les micrologiciels actualisables présentent d'importants inconvénients liés à la sécurité et à la confiance. Dans cet article, nous analyserons les risques potentiels de la mise à jour du micrologiciel d'un portefeuille et vous aiderons à choisir le portefeuille matériel adapté à vos besoins.
Pourquoi un micrologiciel actualisable représente un risque de sécurité
Des attaques de la chaîne d'approvisionnement aux modifications non autorisées, un micrologiciel actualisable peut compromettre la sécurité d'un portefeuille, mettant en danger les fonds des utilisateurs. Nous explorerons les principales raisons pour lesquelles un micrologiciel actualisable est considéré comme une vulnérabilité plutôt qu'un avantage.
1. Attaques internes
Un initié malveillant dans l'entreprise (par exemple, un développeur ayant accès au code du micrologiciel) pourrait intentionnellement intégrer une porte dérobée ou une vulnérabilité dans la mise à jour. Cela pourrait être fait pour un gain personnel, des raisons politiques ou sous pression externe.
2. Ingénierie sociale
Les attaquants pourraient utiliser des méthodes d'ingénierie sociale pour inciter les employés de l'entreprise à modifier le code ou à accorder l'accès aux systèmes de mise à jour.
3. Coercition des employés
Dans certains pays, les lois ou les régulateurs pourraient exiger d'une entreprise qu'elle mette en œuvre des capacités d'accès à distance ou de contrôle du micrologiciel en menaçant des employés clés. Les employés pourraient également faire face à des pressions directes de la part de pirates informatiques, de groupes criminels, ou même d'acteurs étatiques pour introduire des portes dérobées ou des vulnérabilités.
4. Manque de contrôle qualité
Si le processus de développement et de test des mises à jour n'est pas suffisamment rigoureux, des erreurs aléatoires pourraient passer inaperçues. Ces erreurs peuvent devenir des vulnérabilités que les attaquants pourraient exploiter.
5. Absence d'audit indépendant pour chaque version
L'audit de micrologiciel est un processus d'examen du code source, de l'architecture et des méthodes de développement par une partie indépendante non affiliée au fabricant de l'appareil. L'objectif de l'audit est d'identifier les vulnérabilités, de vérifier l'absence de portes dérobées et d'évaluer la qualité des algorithmes cryptographiques. Les audits garantissent également que le micrologiciel est conforme aux normes de sécurité de l'industrie.
Les entreprises qui produisent des micrologiciels actualisables publient souvent de nouvelles versions avec des correctifs ou des fonctionnalités mineures. La conduite d'audits pour chaque mise à jour nécessite un temps et des ressources financières considérables, ce qui peut ne pas être réalisable pour la plupart des entreprises. Par conséquent, des mises à jour peuvent être publiées sans test préalable par des experts indépendants.
Sans validation indépendante, les utilisateurs ne peuvent pas être sûrs que la nouvelle version est exempte de portes dérobées ou de bugs critiques. Les mises à jour peuvent contenir des erreurs qui rendent l'appareil vulnérable aux attaques, par exemple, en raison d'une cryptographie mal implémentée ou de vulnérabilités dans le traitement et le stockage des données.
Des cas réels de micrologiciels actualisables comme risques de sécurité
Au fil des années, plusieurs incidents ont démontré les risques associés aux mises à jour de micrologiciels, affectant les fonds des utilisateurs dans plusieurs portefeuilles.
Ledger (2020) : En 2020, une vulnérabilité a été découverte dans les portefeuilles matériels Ledger liée au traitement des transactions pour les crypto-monnaies dérivées du Bitcoin telles que Litecoin et Dogecoin. Cette vulnérabilité permettait aux attaquants de créer des transactions qui, selon l'utilisateur, envoyaient des altcoins alors qu'en réalité, les fonds étaient déduits en Bitcoin.
OneKey (2023) : Au début de 2023, des pirates informatiques white-hat ont découvert une vulnérabilité dans le micrologiciel du portefeuille OneKey qui permettait de le pirater en une seconde. L'équipe OneKey a rapidement corrigé la vulnérabilité et a déclaré qu'aucun utilisateur n'avait été affecté.
Avantages du micrologiciel fixe (non actualisable)
Le micrologiciel non actualisable dans les portefeuilles matériels offre des avantages distincts, principalement liés à une sécurité accrue et à la confiance des utilisateurs :
1. Aucun risque d'interférence
Une fois l'appareil commercialisé, le micrologiciel est fixe et ne peut pas être modifié. Cela élimine la possibilité d'introduction de portes dérobées cachées par le fabricant ou les attaquants. Cela minimise également le risque d'apparition de nouvelles vulnérabilités puisque le code reste inchangé.
2. Pas de mises à jour forcées
Contrairement aux micrologiciels actualisables, le fabricant ne peut pas contraindre les utilisateurs à installer des mises à jour potentiellement dangereuses.
3. Audit unique
Des experts indépendants peuvent examiner et certifier le micrologiciel avant la commercialisation de l'appareil, garantissant ainsi la confiance des utilisateurs dans sa fiabilité. Le micrologiciel fixe renforce la confiance, car l'audit est effectué une seule fois, et les utilisateurs savent que le code ne changera pas.
4. Vérification de l'intégrité du micrologiciel
Certains fabricants de portefeuilles matériels permettent aux utilisateurs de vérifier indépendamment l'authenticité du micrologiciel et de confirmer sa conformité avec les versions qui ont passé des audits indépendants. Cela augmente la confiance dans l'appareil et offre une protection supplémentaire pour les fonds des utilisateurs.
En conclusion, bien que la possibilité d'actualiser le micrologiciel offre de la flexibilité, les risques de sécurité et les problèmes de confiance l'emportent souvent sur les avantages. Un micrologiciel fixe, associé à des audits indépendants approfondis, fournit une alternative robuste pour assurer la sécurité à long terme des fonds des utilisateurs.
