Les meilleures analyses crypto directement dans votre boîte mail.
Des chercheurs de Ledger ont découvert un défaut de fabrication dans le Trezor Safe 7, mais les fonds des utilisateurs ne sont pas menacés
- L'équipe de sécurité Donjon de Ledger a utilisé l'injection de fautes laser pour contourner la vérification de signature sur la puce TROPIC01 à l'intérieur du portefeuille matériel Safe 7 de Trezor.
- Tropic Square a découvert une attaque similaire qui pourrait permettre d'tracun secret supplémentaire lié au code PIN.
- Trezor affirme que les fonds des utilisateurs et leurs clés privées ne sont pas menacés car la puce ne constitue que l'une des trois couches de sécuritédent .
Trezor et le fabricant de puces Tropic Square ont révélé une vulnérabilité matérielle dans la puce d'élément sécurisé TROPIC01 utilisée dans le portefeuille Trezor Safe 7.
La vulnérabilité a été découverte lors d'un auditdent réalisé par Donjon, l'équipe de recherche en sécurité de Ledger. Pour l'instant, Trezor affirme que les fonds et les clés privées des utilisateurs n'ont pas été compromis.
Qu’a révélé l’audit de Trezor réalisé par Ledger ?
Des chercheurs de l'équipe Donjon de Ledger, la division sécurité du concurrent direct de Trezor, ont découvert une faille dans la puce d'élément sécurisé TROPIC01 lors d'un audit. Fabriquée par Tropic Square, société sœur de Trezor, cette puce est présentée comme la première puce d'élément sécurisé dont la conception matérielle et le code source du micrologiciel sont accessibles au public.
Les chercheurs ont utilisé une méthode de pointe appelée injection de défauts laser. Ils ont ouvert physiquement le boîtier de la puce, puis ont projeté un laser infrarouge de précision sur le silicium afin de perturber le processus de vérification de signature. Cela leur a permis d'exécuter leur propre code non autorisé sur cette puce.
Tropic Square a fourni des échantillons de puces commerciales à Donjon pour évaluation, et l'équipe a signalé le défaut fin janvier 2026.
Après avoir pris connaissance des conclusions de Donjon, les ingénieurs de Tropic Square ont découvert une faille de sécurité connexe permettant d'tracun secret supplémentaire lié aux fonctions de protection du code PIN de la puce.
Que peuvent faire Tropic Square ou Trezor pour renforcer la sécurité des utilisateurs ?
que, la vulnérabilité étant d'ordre matériel, il est impossible de la corriger par une mise à jour logicielle pour les appareils Safe 7 existants. Trezor a confirméTropic Square a indiqué être en train de produire un nouveau lot de puces corrigeant cette faille, mais que les utilisateurs n'ont aucune action à entreprendre.
L'entreprise a souligné que le Safe 7 utilise trois couches de sécurité physique indépendantesdent et que la puce TROPIC01 n'en est qu'une. Les clés privées et les sauvegardes du portefeuille ne sont pas stockées sur la puce concernée.
L'exploitation de cette vulnérabilité nécessite également la possession physique de l'appareil, son démontage, le décapsulage arrière du boîtier de la puce et l'accès à un équipement spécialisé d'injection de défauts laser.
La société Cyvers, spécialisée dans la sécurité des blockchains, a déclaré que cette attaque semble « très difficilement applicable » en conditions réelles. « La sécurité des portefeuilles matériels ne doit pas être évaluée uniquement en fonction de la possibilité d'attaquer une puce en laboratoire », a affirmé Deddy Lavid, PDG de Cyvers. Selon lui, le phishing, le vol de phrases de récupération et la signature aveugle représentent des menaces bien plus importantes pour la plupart des utilisateurs.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y grâce à notre newsletter.
FAQ
Le Trezor Safe 7 est-il piraté ?
Non. Selon Trezor, la vulnérabilité affecte uniquement la puce TROPIC01, l'une des trois couches de sécurité physique de l'appareil, et ne donne pas à un attaquant accès aux clés privées, aux sauvegardes du portefeuille ou au code PIN de l'utilisateur.
Les propriétaires de Trezor Safe 7 doivent-ils faire quelque chose ?
Trezor affirme qu'aucune action n'est requise. L'attaque nécessite la possession physique du matériel, son démontage et un équipement de laboratoire coûteux ; aucune exploitation concrète n'a été signalée.
Cette vulnérabilité peut-elle être corrigée par une mise à jour logicielle ?
Non. Le défaut étant d'ordre matériel, les appareils Safe 7 existants ne peuvent pas être mis à jour à distance. Tropic Square a annoncé la production d'un nouveau lot de puces TROPIC01 corrigeant ce problème.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Hannah Collymore
Hannah est rédactrice et éditrice, forte d'une expérience de près de dix ans dans la rédaction de blogs et la couverture d'événements liés aux cryptomonnaies. Chez Cryptopolitan, elle contribue à la page d'actualités en rédigeant des articles et en analysant les dernières évolutions de la finance décentralisée DeFi, des comptes gérés par les utilisateurs (RWA), de la réglementation des cryptomonnaies, de l'intelligence artificielle (IA) et des technologies de pointe. Elle est diplômée en administration des affaires de l'université Arcadia.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)