Trezor a révélé une faille matérielle dans le composant sécurisé intégré à son portefeuille vedette Safe 7, tout en affirmant que les fonds des clients restent entièrement protégés.
Points clés :
‣ Trezor a divulgué une vulnérabilité dans la puce sécurisée TROPIC01 qui alimente son portefeuille matériel Safe 7. ‣ L’équipe Donjon de Ledger a découvert la faille à l’aide d’une attaque par injection de fautes laser menée en laboratoire contrôlé. ‣ Son exploitation exige la possession physique de l’appareil, de sorte que les fonds des utilisateurs demeurent protégés.
Faille de la puce du Trezor Safe 7 divulguée
La faiblesse sits dans l’élément sécurisé TROPIC01, l’une des trois couches indépendantes intégrées au Safe 7 récemment lancé, et elle est apparue lors d’un audit de sécurité externe. Des chercheurs de l’unité Donjon de Ledger, l’équipe de sécurité interne d’un concurrent de longue date de Trezor, ont mené les tests au cours des derniers mois.
Ces ingénieurs ont bypassed la vérification du firmware de la puce avec un tir laser unique et précis, exposant l’un des trois secrets qui protègent le code PIN de l’utilisateur et réduisant la protection du portefeuille de trois couches à deux.
Le fabricant de puces Tropic Square a ensuite found une seconde voie d’attaque liée au mécanisme de vérification du code PIN de l’utilisateur. L’entreprise prévoit de retenir les détails techniques complets jusqu’à ce qu’une version améliorée de la puce parvienne aux acheteurs. Le Safe 7 associe TROPIC01 à un second élément sécurisé certifié, de sorte qu’un attaquant devrait encore contourner les deux puces pour atteindre la seed.
Les portefeuilles des utilisateurs n’ont jamais été compromis.
À lire aussi : Microsoft Releases New AI Models To Challenge Anthropic's Business Push
Cyvers et Matej Žák évaluent le risque
La société de sécurité blockchain Cyvers partage l’avis selon lequel les fonds restent en sécurité, en soulignant que l’exploit requires la possession physique du portefeuille, son démontage complet et un équipement de laboratoire rare. Deddy Lavid, directeur général de l’entreprise, a warned que les détenteurs ordinaires sont confrontés à des menaces bien plus importantes, comme le « phishing, le vol de phrase de récupération » et la signature aveugle de transactions. Aucun cas d’attaque réelle ou d’appareils altérés n’a été signalé à ce jour.
Le directeur général de Trezor, Matej Žák, a said que cette divulgation coordonnée devrait constituer une référence pour l’ensemble du secteur. Il présente cet audit ouvert comme la preuve que du matériel publiquement vérifiable renforce la sécurité de l’auto‑garde, même si l’entreprise n’a pas détaillé de plan de remboursement pour les acheteurs.
Cette divulgation fait suite à un épisode de mars 2025, lorsque les mêmes chercheurs ont signalé des faiblesses de firmware sur les anciens modèles Safe 3 et Safe 5. Des équipes de sécurité ont également demonstrated des attaques par « voltage glitching » sur du matériel Trezor plus ancien, une méthode à faible coût qui a permis d’extraire directement les phrases de récupération des puces des anciens modèles.
Les portefeuilles froids comme le Safe 7 continuent de protéger des actifs tels que le Bitcoin (BTC) bien mieux que les portefeuilles chauds qui conservent des clés privées connectées à Internet.
Lire ensuite : Anthropic Opens Claude Mythos To 150 Companies Just A Day After IPO Filing