Ledger découvre des failles de sécurité dans les modèles Trezor Safe 3 et Safe 5

Les derniers portefeuilles matériels de Trezor, les Safe 3 et Safe 5, présentent de sérieux problèmes de sécurité, selon un rapport de Ledger publié le 12 mars.

Le rapport indique que son équipe de recherche en sécurité, Ledger Donjon, a découvert que ces appareils présentaient de nombreuses vulnérabilités dans leurs microcontrôleurs, permettant ainsi aux pirates informatiques d'accéder à distance aux fonds des utilisateurs.

Ces failles persistent malgré la mise à niveau de Trezor vers une conception à deux puces intégrant un élément sécurisé certifié EAL6+. Bien que cet élément sécurisé protège les codes PIN et les clés privées, le rapport de Ledger révèle que toutes les opérations cryptographiques sont toujours effectuées sur le microcontrôleur, vulnérable aux attaques par surtension.

Si cette faille était exploitée, un attaquant pourraittracdes secrets cryptographiques, modifier le firmware et contourner les contrôles de sécurité, mettant ainsi en danger les fonds des utilisateurs.

La nouvelle conception de sécurité de Trezor ne parvient pas à protéger les opérations critiques

Trezor a lancé le Safe 3 fin 2023, suivi du Safe 5 mi-2024, et les deux portefeuilles ont introduit une conception améliorée à deux puces, dans le but de s'éloigner de l'architecture à puce unique utilisée dans les anciens modèles Trezor.

La mise à niveau a également ajouté un élément sécurisé Optiga Trust M d'Infineon, qui sera une puce de sécurité dédiée au stockage des codes PIN et des secrets cryptographiques.

D'après les conclusions de Ledger, cet élément sécurisé empêche l'accès aux données sensibles sans la saisie du code PIN correct. Il bloque également les attaques matérielles telles que les surtensions, qui étaient auparavant utilisées pour extrairetracphrases de récupération de modèles comme le Trezor One et le Trezor T.

Mais malgré ces améliorations, les recherches de Ledger Donjon montrent que les principales fonctions cryptographiques, y compris la signature des transactions, sont toujours exécutées sur le microcontrôleur, ce qui reste une faille de sécurité majeure.

Le microcontrôleur utilisé dans les Safe 3 et Safe 5 est étiqueté TRZ32F429, qui est en fait une puce STM32F429 conditionnée sur mesure.

Cette puce présente des vulnérabilités connues, notamment des failles de tension permettant aux attaquants d'obtenir un accès complet en lecture/écriture à la mémoire flash.

Une fois le micrologiciel modifié, un attaquant peut manipuler la génération d'entropie, un élément clé de la sécurité cryptographique. Cela peut permettre le vol à distance des clés privées, offrant ainsi aux pirates un accès total aux fonds des utilisateurs.

Le système d'authentification ne parvient pas à vérifier l'intégrité du microcontrôleur

Trezor utilise l'authentification cryptographique pour vérifier ses appareils, mais Ledger Donjon a constaté que ce système ne vérifie pas le firmware du microcontrôleur.

L'élément sécurisé Optiga Trust M génère une paire de clés publique/privée lors de sa production. Trezor signe la clé publique et l'intègre à un certificat. Lorsqu'un utilisateur connecte son portefeuille, Trezor Suite envoie un défi aléatoire que l'appareil doit signer à l'aide de sa clé privée. Si la signature est valide, l'appareil est considéré comme authentique.

Mais les recherches de Ledger montrent que ce processus ne vérifie que l'élément sécurisé, et non le microcontrôleur ou son firmware.

Trezor a tenté de lier l'élément sécurisé et le microcontrôleur à l'aide d'un secret partagé, programmé dans les deux puces lors de leur fabrication. L'élément sécurisé ne répondra aux demandes de signature que si le microcontrôleur prouve connaître ce secret.

Le problème ? Ce secret partagé au préalable est stocké dans la mémoire flash du microcontrôleur, qui est vulnérable aux attaques par surtension.

L'équipe de Ledger a réussi àtracle secret, à reprogrammer la puce et à contourner entièrement le processus d'authentification. Cela signifie qu'un attaquant pourrait modifier le firmware tout en passant les contrôles de sécurité de Trezor.

Le rapport de Ledger décrit comment ils ont construit une carte d'attaque personnalisée, ce qui leur a permis de connecter les pastilles du TRZ32F429 à des connecteurs standard.

Cette configuration leur permet de monter le microcontrôleur sur leur système d'attaque, d'tracle secret pré-partagé et de reprogrammer l'appareil sans être détectés.

Une fois reprogrammé, l'appareil apparaîtra toujours comme légitime lorsqu'il sera connecté à Trezor Suite, car le système d'attestation cryptographique restera inchangé.

Cela crée une situation dangereuse, où des portefeuilles Trezor Safe 3 et Safe 5 compromis pourraient être vendus comme des appareils authentiques, tout en exécutant secrètement un firmware malveillant qui vole les fonds des utilisateurs.

La validation du firmware est contournée, exposant ainsi les utilisateurs

Trezor inclut bien une vérification d'intégrité du firmware dans Trezor Suite, mais Ledger Donjon a trouvé un moyen de contourner complètement cette protection.

La vérification du firmware fonctionne en envoyant un défi aléatoire à l'appareil, qui calcule ensuite un hachage cryptographique à partir de ce défi et de son firmware. Trezor Suite compare ce hachage à une base de données de versions de firmware authentiques.

À première vue, cette méthode semble plutôt efficace : un attaquant ne peut pas simplement coder en dur un faux hachage car il ne connaîtrait pas le défi aléatoire à l'avance, l'appareil doit donc calculer le hachage en temps réel, prouvant ainsi qu'il exécute un firmware authentique.

Cependant, Ledger Donjon a découvert un moyen de contourner complètement cette protection. Le microcontrôleur étant responsable de ce calcul, un attaquant peut modifier son firmware afin de simuler une réponse valide.

En manipulant le calcul du hachage par l'appareil, un attaquant peut faire passer n'importe quelle version du firmware pour authentique. Il s'agit d'un problème grave, car cela permet aux attaquants d'exécuter un logiciel modifié tout en passant les contrôles de vérification de Trezor Suite.

Par conséquent, un Trezor Safe 3 ou Safe 5 compromis pourrait toujours paraître légitime tout en divulguant secrètement des clés privées ou en modifiant des données de transaction.

Le rapport de Ledger conclut que la seule façon de sécuriser pleinement les Safe 3 et Safe 5 serait de remplacer le microcontrôleur par une alternative plus sûre. Le Trezor Safe 5 intègre un microcontrôleur plus moderne, le STM32U5, qui ne présente aucune vulnérabilité connue par le public en matière d'injection de fautes – du moins pour l'instant.

Mais comme il s'agit toujours d'un microcontrôleur standard et non d'un élément sécurisé dédié, le risque de découverte de nouvelles méthodes d'attaque demeure.

Trezor a déjà corrigé les vulnérabilités, mais les problèmes de sécurité sous-jacents persistent. Tant que le microcontrôleur lui-même ne sera pas entièrement sécurisé, les utilisateurs devront se fier aux protections logicielles de Trezor, dont les recherches de Ledger Donjon ont déjà démontré qu'elles pouvaient être contournées.