L’outil de stockage à froid phare de Crypto, Ledger, prend la chaleur de la communauté crypto cette semaine à la suite d’un article Reddit d’un co-fondateur de Ledger qui suggérait que les entreprises externes pourraient être exposées aux phrases de départ des utilisateurs sur une base opt-in. La situation est loin d’être « tranchée et sèche » et a conduit à un dialogue substantiel au sein des communautés cryptographiques autour du degré de sécurité que Ledger doit à ses utilisateurs.
Examinons les deux angles de l’argument.
Ledger Lunacy : là où tout a commencé
La genèse de cela a commencé avec une nouvelle mise à jour du micrologiciel au cours de la dernière journée, ce qui a conduit à de rapides points d’interrogation sur les implications de la mise à jour. Un message Reddit sur subreddit r/ledgerwallet tard lundi / tôt mardi cette semaine est ce qui a tout déclenché, grâce à un fil intitulé « Y a-t-il une porte dérobée ? Oui ou non. »
L’affiche de Reddit demandait dans le corps du message :
Le message a ouvert les vannes à la spéculation, et les réponses du co-fondateur de Ledger Nicolas Bacca (u/BTChip) n’ont pas encouragé les utilisateurs de Ledger. Bacca a fourni plusieurs réponses aux préoccupations des utilisateurs tout au long du fil, y compris cette réponse sur le fil lui-même :
Il n’y a pas de porte dérobée et je ne peux évidemment pas le prouver (car il n’est pas possible de prouver un négatif) – disons simplement que vous utilisez déjà l’appareil en acceptant le fait que Ledger ne peut pas mettre à jour le firmware sans votre consentement – c’est pareil mécanisme de récupération, qui est verrouillé derrière la propriété de votre appareil, la connaissance de votre code PIN et enfin votre consentement sur l’appareil.
Il y aura bientôt plus d’informations publiées décrivant le fonctionnement du service – le tldr est qu’aucune entreprise ne connaît votre graine si vous décidez de l’utiliser. Si vous ne voulez pas l’utiliser, il n’y a aucune conséquence sur votre expérience précédente de l’appareil.
Dans l’ensemble, les utilisateurs sont apparemment encore en train d’essayer de répondre à une question mourante : un appareil Ledger peut-il exposer une phrase de départ ?
Bitcoin (BTC) has been tracking stable price action, as users ponder the security of their cold storage. | Source: BTC:USD on TradingView.com
Vue d’ensemble : dialogue de va-et-vient
Alors que l’effondrement se poursuivait sur Reddit, accompagné de nouveaux fils de sous-reddit sur la page « hot » comme « envisagez de passer à un autre portefeuille froid », « Comment tuer votre entreprise », et bien d’autres, Crypto Twitter s’est également emparé de la situation. Le développeur résident de Crypto Twitter, Foobar, a encore amplifié la situation :
Arrêtez d’utiliser les portefeuilles matériels Ledger. Éloignez-vous d’eux immédiatement. Ils n’ont rien montré d’autre qu’une incompétence flagrante et une incompréhension sauvage de leur propre objectif. Et maintenant, ils ont publiquement admis avoir intentionnellement détourné leur propre matériel propriétaire. Arrêter d’utiliser Ledger pic.twitter.com/LLFFUsOW4y
– foobar (@0xfoobar) 16 mai 2023
Cependant, tous n’étaient pas d’accord, car un autre développeur remarquable, Udi Wertheimer, a publié son désaccord. Wertheimer a répondu que le message était une « hyperbole irresponsable » et que « Ledger reste aussi sûr à utiliser aujourd’hui qu’il l’était hier. Pour la PLUPART des gens, c’est la solution matérielle la plus simple à recommander.
Dans l’ensemble, il est normal et normal dans la communauté cryptographique que des entreprises comme Ledger soient soumises à un examen minutieux : l’intégrité de l’industrie a un degré significatif en jeu sur la sécurité et l’intégrité du plus grand stockage frigorifique de l’entreprise. Bien qu’il soit probable que certains membres de la communauté perdent la tête trop rapidement, Ledger continuera probablement à faire face à des pressions pour accroître la transparence autour des degrés d’accès aux clés de portefeuille.