Ledger répond aux critiques concernant son nouveau service de récupération de portefeuille

Le Maker de portefeuilles Crypto Ledger a été critiqué cette semaine pour sa nouvelle fonctionnalité « Ledger Recover », certains intervenants sur Twitter affirmant que le service – qui stocke les phrases de départ cryptées des utilisateurs auprès de dépositaires tiers – porte atteinte à l'engagement déclaré de Ledger en matière de Politique de confidentialité et de sécurité.

Lors d'une session Twitter Space, le PDG de Ledger, Pascal Gauthier, a défendu l'offre.

« Vous dites que ce n'est pas ce que veulent les clients. En réalité, c'est ce que veulent les futurs clients », a-t-il déclaré. « C'est ainsi que les prochaines centaines de millions de personnes adopteront les Crypto. »

L'incident souligne la tension qui couve depuis longtemps entre les entreprises axées sur la blockchain qui cherchent à attirer de nouveaux utilisateurs et les segments idéologiques de la communauté Crypto : il peut être difficile de concilier l'expérience utilisateur avec les idéaux CORE .

Récupération du grand livre

Ledger est un fournisseur parisien de portefeuilles matériels de Crypto – des dispositifs de stockage à froid LINK les Crypto d'un utilisateur à une clé USB. Comparés aux portefeuilles à HOT basés sur un navigateur comme MetaMask, qui restent connectés à Internet en permanence, ou aux plateformes d'échange comme Coinbase et Binance, qui conservent les Crypto pour le compte de leurs clients, les portefeuilles matériels sont considérés comme le moyen le plus sûr de conserver des Crypto.

Lorsqu'une personne crée un portefeuille, elle reçoit une chaîne de mots aléatoire, appelée phrase de départ, qui sert de clé Secret de récupération du portefeuille. Il lui est demandé de noter cette phrase et de la conserver en lieu sûr.

Mais le système de phrase de départ présente des problèmes évidents d'expérience utilisateur : si une personne perd la phrase, elle n'a aucune possibilité de récupérer ses fonds. Et tout comme la phrase peut être utilisée pour récupérer un portefeuille, elle peut servir à le pirater s'il tombe entre de mauvaises mains.

Mardi, Ledger a confirmé les rumeurs selon lesquelles il lancerait un service optionnel de récupération de phrases clés à 9,99 $ par mois pour les propriétaires de son portefeuille NANO X. Ce service, Ledger Recover, permet de sécuriser ses phrases clés sans craindre de perdre un seul morceau de papier.

« Lorsque vous vous abonnez à Ledger Recover, une version antérieure à BIP39 de votre clé privée est chiffrée, dupliquée et divisée en trois fragments, chaque fragment étant sécurisé par une société distincte : Coincover, Ledger et un prestataire de services de sauvegarde indépendant », explique Ledger sur son site web. « Chacun de ces fragments chiffrés est inutile individuellement. Lorsque vous souhaitez accéder à votre portefeuille, deux des trois parties renvoient les fragments à votre appareil Ledger et les réassemblent pour constituer votre clé privée. »

Réaction de la communauté

Un segment de Crypto Twitter a réagi à la nouvelle de cette fonctionnalité avec indignation, alléguant que le fait de diviser la clé (cryptée) à des tiers pourrait la rendre vulnérable, compromettant ainsi l'objectif même d'un portefeuille matériel par rapport aux options de stockage alternatives.

Les utilisateurs ont particulièrement critiqué l'obligation pour les clients de Ledger Recover de fournir une ID officielle à l'entreprise s'ils souhaitent utiliser le service. Pour certains membres de la communauté Crypto , cette mesure viole les principes CORE de la Crypto en matière de Politique de confidentialité.

« Bien sûr, vous *pourriez* utiliser le nouveau service « Recover » de Ledger et leur donner vos clés privées contrôlant vos actifs ainsi qu'une copie de votre ID et d'autres informations personnelles », a tweeté Alistair Milne, un investisseur en Bitcoin (BTC) très suivi sur Twitter, « mais pourquoi alors s'embêter avec un portefeuille matériel en premier lieu ? »

Certains critiques ont profité de cette mise à jour pour critiquer le bilan de sécurité de Ledger. En 2020, l'entreprise a publié un rapport.a subi une violation de donnéesLes e-mails de près de 10 000 clients ont été exposés. Bien qu'aucun portefeuille n'ait été compromis suite à l'attaque, l'incident a laissé une mauvaise impression des pratiques de sécurité de l'entreprise auprès de ses utilisateurs férus de technologie.

« Ledger, l'entreprise qui a subi de multiples failles de sécurité ayant exposé les informations personnelles de centaines de milliers de ses clients, souhaite désormais que vous exportiez vos clés privées de votre portefeuille matériel et que vous leur en fournissiez des fragments, à Coincover et à un tiers anonyme, où deux d'entre eux peuvent siphonner des fonds. »a tweeté ChainLinkGod. ETH, ambassadeur communautaire de Chainlink , une entreprise d'infrastructure Crypto . « Pour faciliter la récupération, ils ont besoin que vous divulguiez vos informations personnelles, permettant ainsi à quiconque possédant vos documents d'identité (par exemple, suite à d'autres violations de données) de récupérer vos fonds. Cela semble… mal pensé. »

Ledger répond

Sur un Twitter Space répondant aux inquiétudes concernant le service, la direction de Ledger a défendu ses pratiques de sécurité, a souligné que le nouveau service de récupération était complètement facultatif et a nié les allégations selon lesquelles son nouveau service équivalait à une sorte de « porte dérobée ».

« Ce n'est absolument pas une porte dérobée. Vous gardez le contrôle. Rien ne se passe sans votre consentement sur l'appareil », a déclaré Nicolas Bacca, cofondateur de Ledger, ajoutant que l'équipe prévoit de rendre son code open source prochainement afin que les utilisateurs puissent voir comment le service de récupération de Ledger chiffre les données utilisateur en toute sécurité et fonctionne en toute sécurité en coulisses.

« Les gens ont eu beaucoup de craintes, ce qui est peut-être injustifié », a déclaré Ian Rogers, directeur de l'expérience client chez Ledger. Rogers a souligné que Ledger rendait son service de recouvrement entièrement facultatif et faisait preuve de transparence concernant ses partenariats avec des dépositaires tiers. « En tant que consommateur, vous avez le choix. Et vous devez savoir à qui vous faites confiance. »

Gauthier a réitéré que sa fonctionnalité de récupération était indispensable pour attirer de nouveaux utilisateurs de Crypto . « Je suis désolé, mais le papier appartient au passé et Ledger Recover est une solution d'avenir », a-t-il déclaré. « Il n'y a aucun compromis sur la sécurité. »

Gauthier a également répondu aux critiques sur le bilan de Ledger.

« J'ai vu beaucoup de gens sur Twitter dire : "Oh, je suis sûr que ce sera piraté dans les 12 prochains mois." Bon, on verra bien », a déclaré Gauthier. Il a ajouté que l'entreprise avait « 6 millions d'appareils sur le marché », qu'elle «T été ni piratée, T compromise » et qu'aucune porte dérobée n'avait été installée. »

Si Ledger est piraté, « toute la crédibilité et la réputation de l'entreprise seront en jeu », a déclaré Gauthier. « Nous ne commettrons donc évidemment pas ce genre d'erreurs. »