Tangem identifie et résout une vulnérabilité potentielle

Tangem a identifié et rapidement résolu une vulnérabilité de sécurité potentielle affectant un faible pourcentage d'utilisateurs de portefeuilles. Après une enquête approfondie, nous pouvons confirmer qu'aucune clé privée n'a été compromise, aucun fonds d'utilisateur n'a été perdu et aucun compte n'a été compromis. Le problème a été identifié de manière proactive, et seul un très petit groupe d'utilisateurs — moins de 0,1 % — pourrait être potentiellement affecté dans des circonstances très spécifiques.

Quel était le problème ?

Lors de l'activation d'un portefeuille avec une seed phrase — en la générant ou en l'important — la clé privée était par erreur enregistrée dans les logs de l'application mobile. Ces logs pouvaient ensuite être consultés lors des interactions avec notre équipe de support.

Qui pourrait être potentiellement affecté par ce problème ?

Ce problème concerne les utilisateurs qui :

  • Ont activé un portefeuille en utilisant une seed phrase ET ;
  • Ont contacté notre équipe de support via l'application dans les 7 jours suivant l'activation.

Seule une combinaison de ces deux scénarios pouvait créer une vulnérabilité. Si vous avez généré ou importé une seed phrase mais n'avez pas contacté le support directement depuis l'application pendant la période de conservation des logs de 7 jours, vous ne pouviez pas être affecté.

Qui n'est PAS affecté ?

La majorité des utilisateurs Tangem n'ont pas été impactés par ce problème, notamment :

  • Les utilisateurs ayant activé le portefeuille SANS seed phrase : Si vous avez activé votre portefeuille sans seed phrase (seedless), vos clés privées ont été générées sur la puce de la carte, et ce problème ne vous affecte en aucune manière. En raison de cette configuration seedless, les clés privées ne sont pas générées sur l'application mobile et ne peuvent donc pas être enregistrées dans les logs.
  • Les utilisateurs n'ayant pas contacté le support via l'application : Que votre portefeuille utilise une seed phrase ou soit seedless, vous n'avez aucune inquiétude à avoir si vous n'avez pas contacté le support Tangem via l'application. De plus, tous les logs ont été stockés de manière sécurisée pendant une courte période et effacés peu après.

Pourquoi ce problème est-il survenu ?

Nous avons introduit un mécanisme avancé de logging NFC pour améliorer les performances de l'application sur certains appareils. Cependant, ce mécanisme contenait un bug qui n'a pas été détecté lors des examens initiaux du code ou des tests.

Comment Tangem a résolu ce problème

Nous avons pris les mesures suivantes pour résoudre ce problème :

  • Bug corrigé : Le bug a été identifié et corrigé rapidement dans les dernières versions de l'application sur l'App Store (version 5.19.1) et Google Play (version 5.19.2). L'application est désormais sécurisée, et les données privées ne sont plus enregistrées dans les logs, quelles que soient les circonstances.
  • Logs et informations supprimés : Tous les logs et les pièces jointes envoyés à notre équipe de support ont été définitivement effacés, garantissant qu'aucune donnée résiduelle ne subsiste.
  • Notification des utilisateurs : Une notification dans l'application alertera tous les utilisateurs ayant activé leur portefeuille avec une seed phrase, leur demandant s'ils ont contacté le support par e-mail via l'application mobile dans les 7 jours suivant l'activation du portefeuille. Ceux qui répondront par l'affirmative devront suivre les recommandations décrites dans cet article. Important : Les employés de Tangem ne vous contacteront jamais en premier par message privé sur Telegram ou d'autres plateformes de médias sociaux.
  • Mesures de sécurité renforcées : Nous avons mis en place des protections et des protocoles supplémentaires pour prévenir des problèmes similaires à l'avenir.

Que devez-vous faire si vous avez été affecté ?

Nous recommandons vivement de suivre les étapes suivantes pour garantir une sécurité maximale :

  1. Mettre à jour l'application Tangem vers la dernière version.
  2. Transférer vos fonds hors du Portefeuille Tangem affecté.
  3. Réinitialiser le portefeuille aux paramètres d'usine.
  4. Réactiver le portefeuille sans seed phrase ou créer une nouvelle seed phrase.
  5. Transférer vos fonds vers votre Portefeuille Tangem nouvellement activé.

Programme bug bounty

Tangem gère un programme bug bounty pour renforcer nos efforts de sécurité. Cette initiative invite les chercheurs en sécurité, les hackers éthiques et la communauté au sens large à identifier les vulnérabilités dans nos systèmes. Nous pensons que les efforts de sécurité collaboratifs sont essentiels pour maintenir la confiance des utilisateurs. 

Les participants qui identifient des vulnérabilités valides seront éligibles à des récompenses, garantissant ainsi que les risques potentiels sont atténués avant qu'ils ne puissent affecter les utilisateurs.

En savoir plus sur le programme bug bounty.

Conclusion

Cet incident n'a fait aucune victime — aucune clé privée n'a été compromise, aucun fonds n'a été perdu et aucun accès non autorisé n'a eu lieu. La vulnérabilité potentielle nécessitait un ensemble spécifique de circonstances qui ne concernait qu'un très petit nombre d'utilisateurs Tangem. Pour l'avenir, nous restons concentrés sur la fourniture de l'expérience cold wallet la plus sécurisée et la plus conviviale possible.

FAQ

Comment l'application Tangem créait-elle des logs ?

Les logs sont générés et envoyés uniquement lorsque l'utilisateur contacte manuellement le support via l'application mobile. Tous les logs sont joints sous forme de fichiers que l'utilisateur peut examiner avant l'envoi. Les logs de l'application n'ont jamais été générés ni transmis automatiquement à Tangem.

Tangem a-t-elle supprimé tous les fichiers de logs ?

Oui, et nous avons pris toutes les mesures possibles pour garantir la sécurité de tous les utilisateurs.

Qu'en est-il si j'avais un portefeuille seedless ?

Vous n'avez aucune inquiétude à avoir. Ce problème n'affecte pas les utilisateurs qui ont activé leur Portefeuille Tangem sans seed phrase.

Comment savoir si mon portefeuille a été activé avec une seed phrase ?

Ouvrez l'application mobile Tangem et vérifiez la barre d'information du portefeuille. Les portefeuilles activés avec une seed phrase ont la mention « Seed phrase » inscrite après le nombre d'appareils.

Comment savoir si j'ai été affecté ?

Si vous avez activé votre portefeuille Tangem en utilisant une seed phrase et que vous avez contacté le support Tangem via l'application dans les 7 jours suivant l'activation, vous pourriez être concerné. Veuillez vérifier votre historique d'e-mails — y compris les brouillons — avec le Support Tangem pour vérifier les dates de vos communications par rapport au moment où vous avez activé votre portefeuille avec une seed phrase.