Vu le cours actuel du bitcoin, tout système lié de près ou de loin aux monnaies virtuelles a intérêt à être sécurisé : la moindre faille, la moindre erreur dans un code peut tourner à la catastrophe. Ledger lance donc une chasse aux vulnérabilités hardware sur son Nano S et fait appel à la communauté Yogosha pour percer ce coffre-fort.
Ledger est une société française spécialisée dans les monnaies virtuelles, ou plus exactement dans la sécurité des portefeuilles de Bitcoins, Ether et autres Altcoins. Elle propose ainsi des solutions hardware permettant de sécuriser les transactions. Le produit qui nous intéresse aujourd’hui est le Nano S. Ce portefeuille hardware peut s’apparenter à une clé USB chiffrée, à l’instar des clés physiques d’authentification. D’ailleurs, Nano S supporte le standard FIDO U2F.
« Vous pouvez envoyer et recevoir des paiements, vérifier vos comptes et gérer plusieurs adresses pour chaque devise du même appareil » précise Ledger à propos de son produit. Cette clé permet donc de stocker des données confidentielles « dans un environnement fortement isolé verrouillé par un code PIN ». Un écran sur l’objet permet de vérifier la transaction en cours, qui ne peut être validée que par une pression sur un bouton physique.
Jamais à l’abri d’un kill switch qui traîne
Evidemment, sur ce genre de marché, la moindre faille peut entraîner d’énormes pertes, le Nano S se doit donc d’être théoriquement incassable. Et si les tests en interne et ceux menés par des labos extérieurs sont indispensables, bénéficier d’un plus grand nombre d’expertises n’est pas un mal. Ledger se lance donc dans le Bug Bounty. Pour ce faire, la jeune société s’est adressée à Yogosha.
Cette plateforme s’appuie sur un réseau restreint de chercheurs, sélectionnés pour leurs compétences, contrairement à d’autres plateformes de chasse aux vulnérabilités ouvertes à tout développeur. Pour Ledger, c’est un panel de trente chercheurs qui s’attaqueront à « casser » Nano S. Chacun recevra un prototype de la prochaine version du portefeuille physique.
Nicolas Bacca, CTO de Ledger, explique « travailler en permanence à augmenter les niveaux de sécurité au niveau de l’OS et du hardware, à la fois en interne et en échangeant régulièrement avec la communauté de développeurs. Il était donc logique de faire un bug bounty sur notre tout dernier prototype ». Ceux qui au sein de cette équipe réussiront à « percer ce coffre-fort numérique » se verront remettre une prime de 1,35 Bitcoin, soit environ 8500 euros au cours actuel. L’histoire ne dit pas s’ils pourront conserver leur Nano S pour recevoir leur prime.