Test : Le portefeuille Ledger NANO offre une sécurité haut de gamme à petit prix

Les bases

Sécurité

Utilisation de l'appareil

Avantages

Inconvénients

Concurrents

Conclusion

Les bases

Le Portefeuille Ledger NANO Il s'agit d'un nouveau portefeuille matériel multisignatures hiérarchique et déterministe destiné aux utilisateurs de Bitcoin . Il vise à éliminer plusieurs vecteurs d'attaque grâce à une seconde couche de sécurité. Cette description, trop technique, n'est cependant pas très explicite pour le consommateur lambda ; c'est pourquoi je vais l'expliquer en termes simples, en décrivant le fonctionnement du Ledger Wallet NANO . Le portefeuille a été lancé début décembre. Pour plus d'informations sur le projet, vous pouvez consulter le site : rattrapez notre couverture du lancement.

Côté matériel, le Ledger Wallet NANO est un périphérique USB compact basé sur une carte à puce. Il a à peu près la taille d'une petite clé USB : 39 x 13 x 4 mm (1,53 x 0,51 x 0,16 pouce) et pèse seulement 5,9 g.

La boîte contient également un manuel simple, une feuille de récupération et une carte de sécurité dans une pochette en similicuir noir.

Clé USB à droite incluse pour référence

Je n'ai rien à redire sur la qualité de fabrication, même si quelques aspérités sont visibles à l'examen. L'appareil en plastique est doté d'un couvercle pivotant en aluminium avec une finition brossée, comme beaucoup de clés USB. D'ailleurs, son design LOOKS étrangement à celui des clés USB de la série Pico-A de Super Talent.

Concept de sécurité du portefeuille Ledger NANO

La conception familière du Ledger est là où s'arrêtent ses similitudes avec les clés USB traditionnelles.  Puisqu'il n'utilise pas de mémoire NAND bon marché comme une clé USB moyenne, le Ledger devrait être plus fiable. Le fabricant de la mémoire EEPROM utilisée dans leCC EAL5+La carte à puce conforme offre une garantie de 30 ans sur la conservation des données et 500 000 cycles de lecture/écriture.

La carte à puce est une norme industrielle depuis des décennies et élimine un certain nombre de problèmes de sécurité qui peuvent survenir sur les appareils basés sur des microcontrôleurs polyvalents.

Le portefeuille n'est évidemment pas conçu comme un appareil autonome, car il dépend de l'ordinateur hôte pour configurer et exécuter les transactions. Puisque l'ordinateur hôte est le point de défaillance le plus probable, le Ledger Wallet NANO est conçu pour sécuriser les ordinateurs vulnérables, voire compromis, en introduisant une couche de sécurité supplémentaire.

Le portefeuille signe les transactions Bitcoin en interne et vise à prévenir les attaques de l'homme du milieu (MITM) grâce à une carte de sécurité. Sans cette couche de sécurité supplémentaire, le portefeuille serait exposé aux attaques de l'homme du milieu, car un pirate pourrait, en théorie, prendre le contrôle de l'ordinateur et compromettre le portefeuille. La carte de sécurité réduit la probabilité d'une telle attaque grâce à une authentification physique à deux facteurs.

Aucune transaction ne peut être signée sans interaction Human . Chaque transaction nécessite que l'utilisateur scanne visuellement la carte de sécurité lorsque l'application de portefeuille l'y invite. Le portefeuille affiche l'adresse de paiement et demande à l'utilisateur de saisir quatre codes aléatoires. Si le code correct n'est pas saisi, la transaction ne peut avoir lieu.

Carte de sécurité au lieu d'un affichage dédié

Le portefeuille matériel Trezor, que nousrévisé il y a quelques moisPour résoudre ce problème, Ledger utilise un écran invitant l'utilisateur à saisir son code PIN sur un pavé numérique pseudo-aléatoire, visible uniquement par lui. L'équipe Ledger a opté pour une approche différente : une carte de sécurité de 58 caractères.

L'idée de base est la même, mais la mise en œuvre est BIT différente. Utiliser une carte à la place d'un écran permet évidemment d'obtenir un appareil plus petit et de réduire le coût global.

L'inconvénient est que cela réduit également les possibilités de permutation du code du second facteur. Un attaquant persistant, disposant d'un contrôle total sur le PC de l'utilisateur, pourrait théoriquement reconstituer la carte de sécurité après quelques dizaines de transactions. Chaque transaction lui permettrait d'approfondir ses connaissances jusqu'à ce que suffisamment d'informations soient collectées pour cartographier et reconstituer entièrement le contenu de la carte de sécurité.

Aussi étrange que cela puisse paraître, utiliser le portefeuille sur un certain nombre d'ordinateurs différents infestés de logiciels malveillants serait, en théorie, plus sûr du point de vue anti-MITM que de l'utiliser pour effectuer quelques dizaines de transactions sur votre propre ordinateur.

Ledger, conscient de ces limitations, travaille au développement d'une application mobile complémentaire qui permettra à un autre appareil de servir d'écran pour le portefeuille. L'application sera couplée au portefeuille grâce à la carte de sécurité, ce qui permettra au portefeuille d'afficher le défi sur l'appareil mobile, ainsi que l'adresse cible et le montant en BTC. L'utilisateur pourra ensuite signer le défi de sécurité et effectuer la transaction. L'entreprise prévoit de lancer l'application complémentaire en janvier 2015.

Utilisation de l'appareil

Le portefeuille est conçu pour être utilisé sur les systèmes d'exploitation de bureau sur le navigateur Chrome de Google. J'ai utilisé une tablette Asus Windows 8.1 avec une station d'accueil pour clavier comme banc d'essai.

Installation du Ledger Wallet NANO

L'installation est relativement simple, mais nécessite l'utilisation d'une application Google Chrome. Il suffit de brancher le Ledger Wallet NANO sur un port USB et de se rendre sur my.ledgerwallet.com pour installer automatiquement l'application Chrome, qui se connecte au serveur API de Ledger pour accéder à la blockchain.

Bien que relativement populaire, Chrome n'est pas le seul navigateur du marché et des millions d'utilisateurs utilisent encore Firefox, Safari et même Internet Explorer. Une approche indépendante de la plateforme aurait été préférable, mais pour plusieurs raisons, notamment les certificats de sécurité, elle est tout simplement impossible. Les utilisateurs de Linux doivent égalementcréer un ensemble de règles udevpour permettre l'accès à l'appareil.

Une fois l'application prête, l'utilisateur est invité à saisir son code PIN. Il peut choisir ce code ou utiliser ONE proposé par l'installateur. Vient ensuite la phase de récupération : lors de l'initialisation du portefeuille, un code mnémotechnique de 24 mots est généré, qui doit être stocké, de préférence sur la feuille de récupération fournie.

N'essayez T cela à la maison - la graine doit être notée et stockée en toute sécurité

La graine n'est affichée qu'une seule fois et ne doit pas être stockée sur votre ordinateur sous forme numérique. Elle constitue le seul moyen de restaurer le portefeuille en cas de perte ou de panne matérielle. Cela peut être réalisé en utilisant un portefeuille Ledger de remplacement, mais le processus fonctionne également avec d'autres portefeuilles BIP39 comme Electrum.

Le Ledger NANO doit être initialisé sur un ordinateur non compromis. Une façon de procéder est : par entrefer, en utilisant un système d'exploitation live comme Chromium sur une clé USB, et le processus ne devrait pas prendre très longtemps, même s'il implique un BIT de bricolage du BIOS (c'est-à-dire la modification de la séquence de démarrage).

En plus de la phrase de récupération de 24 mots, la feuille de récupération soigneusement organisée comprend également le code QR de récupération de la carte de sécurité, qui peut être utilisé pour créer une nouvelle copie de la carte de sécurité à deuxième facteur en cas de perte ou de vol. Si vous saisissez le mauvais code PIN trois fois de suite, le portefeuille se réinitialisera à l'état d'usine. C'est également le moyen le plus simple d'effacer l'appareil au cas où vous voudriez le vendre ou l'offrir.

Utiliser le portefeuille

Une fois l'installation terminée, l'utilisateur doit simplement insérer l'appareil dans un port USB et saisir le code PIN pour accéder au portefeuille.

Cependant, toutes les transactions doivent être validées à l'aide de la carte de sécurité. Le portefeuille émettra un défi et l'utilisateur devra Réseaux sociaux les instructions et saisir le code à quatre caractères pour valider la transaction. Pour ce faire, il devra saisir les caractères correspondants de la carte de sécurité.

Le portefeuille lui-même est facile à utiliser et toute personne familiarisée avec les portefeuilles Bitcoin devrait s'y sentir à l'aise. La seule différence réside dans la couche de validation supplémentaire grâce à la carte de sécurité. Heureusement, le processus est simple et rapide : chaque transaction ne prend généralement pas plus de 15 à 20 secondes.

Le portefeuille est également équipé d'un scanner QR. Bien que la numérisation QR ait des applications limitées sur les plateformes de bureau, je l'ai utilisé pour simuler le rechargement d'un portefeuille mobile et cela a bien fonctionné. Cela peut représenter un gain de temps considérable dans certaines situations.

Dans l'ensemble, il n'y a pas grand chose à dire sur le portefeuille - et c'est une bonne chose - c'est plus ou moins un portefeuille Bitcoin ordinaire avec une couche d'authentification supplémentaire, ce qui ne prend T beaucoup de temps.

Avantages

• Design très compact et élégant. Le Ledger s'adapte à n'importe quel porte-clés, T oublier la carte de sécurité.
• Rapport qualité/prix – à 29,90 €, le Ledger Wallet NANO est plutôt bon marché en ce qui concerne les portefeuilles matériels.
• L'utilisation d'une carte à puce au lieu d'un microcontrôleur à usage général devrait améliorer la sécurité et la fiabilité à long terme.
• La validation via une carte de sécurité ne demande pas beaucoup d'efforts ni de temps

Inconvénients

• L'appareil doit être installé sur un ordinateur parfaitement sécurisé et tous les utilisateurs ne seront pas enclins à utiliser l'approche « air gap ».
• L'approche par carte de sécurité présente des avantages et des inconvénients. Si elle permet de réduire les coûts et de créer un appareil véritablement portable, elle offre également un niveau de sécurité légèrement inférieur à celui d'un appareil doté d'un écran dédié. Cependant, ce problème pourrait être partiellement résolu par la prochaine application compagnon.
• Ne peut T être utilisé sur les appareils mobiles, la prise en charge est actuellement limitée au navigateur Chrome.

Alternatives

Le portefeuille Trezor dispose d'un écran pour un niveau d'immunité supplémentaire, mais coûte 119 $.

Conclusion

La sécurité absolue n'existe pas, mais l'objectif des portefeuilles matériels est de rendre toute attaque potentielle plus difficile et plus gourmande en ressources. Ledger ne fait pas exception : il est conçu pour rendre les attaques impraticables en plaçant la barre plus haut.

À 29,90 €, le Ledger Wallet NANO offre un excellent rapport qualité-prix, ce qui le rend attrayant pour les passionnés souhaitant détenir des Bitcoin T trop dépenser en sécurité. C'est ce qui le rend si spécial à mes yeux. Ce n'est pas un appareil coûteux et spécialisé, destiné à quelques privilégiés, mais plutôt à l'utilisateur Bitcoin .

L'appareil peut s'adapter à un porte-clés et la carte de sécurité à pratiquement n'importe quel portefeuille physique, ce qui rend le Ledger très pratique. Si vous perdez l'un ou l'autre des composants, vous pouvez toujours récupérer votre portefeuille à l'aide de votre graine mnémotechnique. La prochaine application mobile compagnon devrait renforcer la sécurité et mettre Ledger au même niveau que des solutions plus coûteuses.

Mise à jour 31-03-2015:Le Ledger Wallet NANO est désormais disponible chez Surstock.

Clause de non-responsabilité: CoinDesk acquiert du matériel informatique afin de vérifier les déclarations des fabricants et de produire des avis éclairés. CoinDesk ne perçoit aucune rémunération pour ces avis.

Cet article ne doit pas être considéré comme une recommandation des entreprises ou des produits mentionnés. Veuillez effectuer vos propres recherches approfondies avant d'envisager d'investir des fonds.

Où acheter :Directement deGrand livre ou Overstock.com

Vous souhaitez que CoinDesk évalue votre matériel ? Envoyez-nous un e-mail à CoinDesk.