Kraken Security Labs a révélé qu’il ne faut que 15 minutes pour pirater les portefeuilles matériels Trezor et leurs outils dérivés.
L’attaque nécessite une intervention physique dans le portefeuille Trezor en extrayant sa puce et en la plaçant sur un appareil spécial ou en soudant quelques connecteurs importants.
La puce Trezor doit ensuite être connectée à un appareil défectueux qui peut envoyer des signaux à un moment précis. Ces appareils cassent la couche de protection intégrée qui empêche la lecture de la mémoire de la puce par des appareils externes.
L’astuce permet à un attaquant de lire les paramètres importants du portefeuille, y compris les clés privées.
Bien que la graine ait été chiffrée à l’aide d’une clé génératrice de code PIN, les chercheurs ont pu la déchiffrer en seulement deux minutes. L’attaque profite des vulnérabilités inhérentes au microcontrôleur utilisé dans les portefeuilles Trezor. Cela signifie que l’équipe Trezor est peu susceptible de faire quoi que ce soit sans cette refonte du matériel.
Kraken exhorte les utilisateurs de Trezor à ne permettre à personne d’accéder au portefeuille physique.
Dans une réponse coordonnée publiée par Trezor, l’équipe a minimisé l’impact de la faille. La société a fait valoir que l’attaque montrerait des signes visibles de falsification en raison de la nécessité d’ouvrir l’appareil, notant que l’attaque nécessite un matériel extrêmement spécialisé pour s’exécuter.
Les laboratoires recommandent aux utilisateurs d’activer la fonction de mot de passe du portefeuille pour se protéger contre de telles attaques et notent qu’il s’agit d’une alternative viable.
