Bitcoin: la start-up française Ledger lève 1,3 million d’euros pour sécuriser les portefeuilles
« Lorsque l’on possède des bitcoins, on détient en réalité des clés privées qui permettent de signer et régler les transactions. La sécurité tient dans la protection de ces clés. La plupart des logiciels que l’on retrouve sur les wallets les stockent de façon cryptées, que ce soit sur le disque dur ou le cloud, mais à un moment ou à un autre, l’ordinateur a besoin de décrypter la clé privée pour effectuer la signature cryptographique. C’est à ce moment-là qu’un malware ou un virus peut récupérer cette clé privée, qui est en clair, sur l’ordinateur pour récupérer les bitcoins », explique Eric Larchevêque, président et co-fondateur de Ledger.
Compatible NFC et BLE
Sa start-up, qu’il a lancée en janvier 2015 à Paris, compte une quinzaine d’employés et développe des solutions de sécurité pour les portefeuilles électroniques en bitcoins. Celles-ci sont notamment compatibles avec les technologies Near Field Communication (NFC) et Bluetooth Low Energy (BLE).
« Ledger se base sur la technologie carte à puce pour stocker de façon sécurisée la clé privée et effectuer une signature cryptographique à l’intérieur de cette clé privée. Ledger stocke les données privées dans une puce impénétrable, comme les banques avec les cartes de crédit, et qui, à la demande de l’ordinateur sur lequel est connectée la carte à puce, effectue la signature pour valider un paiement. A aucun moment, la clé privée ne sera exposée à l’intérieur de la mémoire de l’ordinateur afin de garantir la sécurité pour l’utilisateur » assure M. Larchevêque.
Ouverture d’un bureau à San Francisco
Pour se développer, Ledger vient de lever 1,3 million d’euros auprès de XAnge Capital, filiale de La Banque Postale, ainsi que Pascal Gauthier (ex-COO Criteo), Hi-Pay, Fred Potter (directeur général de Netatmo), Thibaut Faurès Fustel de Coulanges (vice-président de Rentabiliweb Group) et Alain Tingaud Innovations.
Ce nouvel investissement permettra à l’entreprise d’assurer son développement marketing en participant à de nombreux salons pour se faire connaîte. Aussi, Ledger, qui affirme vendre sa solution dans une cinquantaine de pays, souhaite étendre son activité à l’international, notamment avec l’ouverture d’un bureau à San Francisco. Un marché de niche, mais global.
Crédit photo: Ledger.
- EDEN AI lève 3 millions d’euros pour démocratiser l’accès à l’IA en entreprise - 21/11/2024
- Plan marketing 2025 : la méthode de Maxime Baumard pour structurer la stratégie B2B de PENNYLANE - 21/11/2024
- Freqens lève 3 millions d’euros pour accompagner les équipes achats dans leurs décisions. - 21/11/2024
Malheureusement cette solution est bien moins sécurisée que https://www.bitcointrezor.com (qui est certes 3 fois plus cher). Mais ça reste beaucoup mieux que de laisser ses clés sur son PC, même cryptées…
Out c’est pas beau de mentir sans savoir…
Il n’y a pas d’afficheur sur le device, donc les infos de la carte, lors de l’initialisation, sont affichées à l’écran du PC. Si celui est compromis, alors la sécurité future du device est compromise. Idem si ça passe par un téléphone (en particulier Android), en théorie. Les infos de recouvrement du trezor sont affichées sur son petit afficheur. Je suppose que le seul moment où celui-ci est vulnérable est lors de la mise à jour du firmware (laquelle doit être validée directement sur le device).
On a vu le trésor se faire hacker physiquement dans une conférence, ce qui n’est pas encore arrivé au ledgerwallet.
Source ? Avec accès aux BTC stockés ? Avec le contrôle total du PC cible, pas besoin d’être très malin pour hacker le ledger lors de son initialisation.
NB : les commentaires anonymes… j’ai « bizarrement » l’impression que vous bossez chez ledger…
Pour en savoir plus concernant les vulnérabilités de Trezor en side channel attacks, voici ce que nous avons publié sur le sujet: https://medium.com/@Ledger/bitcoin-security-why-smart-cards-matter-6ca0128562b2
Eric Larchevêque (Ledger)
PS: nous ne publions pas ici de manière anonyme
Remplacement du device avant la première utilisation par un autre trafiqué, c’est ça votre faille ? Ca me semble bien léger comparé à une compromission simple du PC de l’utilisateur, bien plus facile à obtenir.
Non, je vous invite à lire l’article en entier. L’attaque est basée sur le court circuitage du code PIN qui permet de viter le Trezor si on arrive à mettre la main dessus.
La compromission simple du PC de l’utilisateur ne permet pas de détourner les bitcoins d’un utilisateur du Ledger Wallet. L’écran est remplacé par une carte de sécurité et/ou une application mobile, faisant office de second facteur.
La compromission au moment de l’initialisation => je récupère les éléments de la carte de sécurité et je l’insère dans un autre ledger, à distance. J’ai bien lu dans l’article le bypass du temps d’attente entre les essais du PIN, mais ça me semble bien peu exploitable dans la pratique. Et quid du mot de passe à connaître, en plus (ie il faut le PIN + le mot de passe + le trezor en main, ça fait beaucoup…) ? Dans le cas du ledger, avouez simplement que le hack est bien plus simple puisque je n’ai pas à toucher physiquement le device. Autre faille, potentielle, si je n’avais pas le controle du PC au moment de l’utilisation : la reconstruction progressive de la carte de sécurité, au fur et à mesure de ses utilisations par l’utilisateur (mais peut être que je me trompe, je connais trop peu le ledger).
Il suffit de réaliser l’initialisation sur une VM ou sur un USB stick (cf notre tutorial). La reconstruction de la carte de sécurité est possible oui, c’est pour cela que nous proposons l’usage de notre application mobile en second facteur.
Le Ledger Blue (Q4 2015) intégrera un écran et un clavier.
Le Nano est un excellent compromis entre facilité, prix et sécurité. Nous n’opposons pas le Nano au Trezor, car ce sont des produits à l’architecture complètement différente.
Voilà qui est intéressant. En tous cas je suis fier que ce soit un compatriote de l’ESIEE qui soit à l’origine du Ledger :D
Quelqu’un pourrait-il éclaircir les liens entre Paymium, Bitcoin-Central, Instawallet et Ledger ?
Paymium, Bitcoin-Central et Instawallet sont des produits de la même société (Paymium).
Ledger n’est pas lié avec Paymium (a.k.a. Bitcoin-Central et Instawallet). Ce sont deux sociétés distinctes, sans aucun lien capitalistique.
OK mais les personnes derrière sont-elles les mêmes ? Fondateurs, employés, actionnaires, etc.
Non, il n’y a absolument aucun lien d’aucune sorte (les fondateurs de Ledger ne sont pas les même fondateurs de Paymium, les employés de Ledger ne sont pas les même employés de Paymium, les actionnaires de Ledger ne sont pas les même actionnaires de Paymium, et les etc. de Ledger ne sont pas les même etc. de Paymium).
C’est rassurant… mais vous êtes hébergés à la maison du bitcoin, qui appartient à Paymium, non ?
Non, la Maison du Bitcoin appartient à Ledger.
Ouf :) Merci pour ces précisions.
Bonjour
article très intéressant. En complément, j’ai repéré celui-ci, plus axé sur la sécurité des transactions, principal point noir du bitcoin :
http://www.securiteoff.com/pourquoi-il-faut-etre-tres-prudent-avec-les-bitcoins/