-20 % + jusqu’à 20 $ en BTC jusqu’au 31 marsPourquoi un firmware inaltérable est une fonctionnalité de sécurité
Cet article est disponible dans les langues suivantes :
- AI summary
- Qu'est-ce que le firmware dans les portefeuilles matériels ?
- Ce contre quoi le firmware immuable est conçu pour protéger
- Comment les mécanismes de mise à jour créent une surface d'attaque
- Risques documentés des firmwares modifiables
- Dark Skippy : une étude de cas sur les attaques basées sur le firmware
- L'argument contre le firmware open source
- L'architecture de firmware immuable de Tangem
- Répondre aux affirmations de Ledger
- Chronologie des audits indépendants
- Foire aux questions
- Références
AI summary
Le firmware est le logiciel fondamental intégré dans la puce d'un portefeuille matériel. Il régit chaque opération critique : comment les clés privées sont générées, stockées et utilisées pour signer des transactions. Parce que le firmware opère au niveau le plus profond de l'appareil, avec un accès direct à l'élément sécurisé où résident les clés privées, son intégrité est essentielle. Si le firmware est compromis, les conséquences sont graves et souvent irréversibles.
Cet article propose un examen complet des deux approches concurrentes du firmware dans les portefeuilles matériels : les firmwares modifiables et non modifiables (immuables). Il explore les vulnérabilités documentées, analyse les méthodes d'attaque émergentes et répond directement aux récentes affirmations de l'industrie concernant les limites du firmware immuable.
Qu'est-ce que le firmware dans les portefeuilles matériels ?
Le firmware est le logiciel spécialisé de bas niveau intégré directement dans la puce d'un portefeuille matériel. Il fonctionne comme le système d'exploitation de l'appareil, bien qu'il soit beaucoup plus limité dans sa portée que le logiciel fonctionnant sur un ordinateur ou un smartphone. Le firmware contrôle chaque fonction critique de sécurité : la génération de clés privées, le stockage des clés, la signature des transactions et la communication avec les applications compagnons.
Contrairement aux applications ordinaires, le firmware s'exécute directement sur le matériel, lui donnant un accès immédiat à l'élément sécurisé, la puce inviolable où sont conservées les clés privées. Cette position particulière souligne l'importance de l'intégrité du firmware. S'il est compromis, un attaquant pourrait accéder aux informations les plus sensibles du portefeuille.
Les fabricants de portefeuilles matériels ont adopté deux approches distinctes pour la gestion du firmware :
Firmware modifiable : Le fabricant peut publier de nouvelles versions de firmware que les utilisateurs téléchargent et installent sur leurs appareils. Ce modèle est utilisé par des portefeuilles tels que Ledger, Trezor et la plupart des autres grands fabricants.
Firmware immuable (non modifiable) : Le firmware est gravé sur la puce une seule fois lors de la fabrication et ne peut pas être modifié ultérieurement par le fabricant, des acteurs externes ou tout autre moyen. C'est le modèle utilisé par Tangem.
En apparence, le firmware modifiable offre des avantages évidents : la possibilité de corriger des vulnérabilités, d'introduire de nouvelles fonctionnalités et de s'adapter aux menaces. Cependant, le mécanisme de mise à jour lui-même introduit des risques de sécurité substantiels qui l'emportent sur ses avantages.
Ce contre quoi le firmware immuable est conçu pour protéger
Toute architecture de sécurité commence par un modèle de menace : une évaluation formelle des attaques que le système est conçu pour prévenir, des risques qu'il accepte et de la façon dont la responsabilité est répartie entre les différentes couches.
Le firmware modifiable crée un canal persistant pour la livraison de code à un appareil après sa vente. Bien que ce canal soit destiné à des améliorations légitimes, il représente également une surface d'attaque qui reste accessible aux acteurs malveillants tout au long de la durée de vie de l'appareil.
Le firmware non modifiable est la seule approche communément acceptée pour les appareils sécurisés exploités par les utilisateurs finaux. Il n'existe AUCUNE carte bancaire ni e-passeport autorisant des mises à jour de firmware par voie hertzienne sur le terrain. YubiKey, une clé de sécurité matérielle fournissant une authentification à deux facteurs et multifacteur, dispose également d'un firmware immuable. Cela s'explique par le fait que les risques de sécurité sont toujours trop élevés.
Examinons ces menaces :
1. Menaces internes
Toute organisation capable de déployer des mises à jour de firmware emploie nécessairement des personnes pouvant modifier le code contrôlant les clés privées des utilisateurs. Un initié malveillant, qu'il soit motivé par un gain financier, des raisons idéologiques ou une coercition externe, pourrait intégrer une porte dérobée ou une vulnérabilité dans une mise à jour.
L'industrie de la cybersécurité au sens large a documenté une augmentation constante des incidents causés par des initiés au cours de la dernière décennie. Dans les portefeuilles matériels, où un seul chemin de code compromis pourrait affecter des millions de dollars de fonds d'utilisateurs, ce risque est particulièrement lourd de conséquences.
2. Ingénierie sociale
L'existence d'un pipeline de mises à jour de firmware crée une cible de haute valeur pour les attaques d'ingénierie sociale. Les adversaires peuvent tenter de manipuler des employés pour qu'ils modifient du code, partagent des identifiants d'accès ou approuvent des modifications malveillantes par le biais d'hameçonnage, d'usurpation d'identité ou de scénarios d'urgence fabriqués.
La menace s'est considérablement intensifiée : les attaques de phishing vocal par deepfake ont augmenté de plus de 1 600 % au premier trimestre 2025. Toute entreprise maintenant un mécanisme de mise à jour doit se défendre en permanence contre ces tactiques en constante évolution.
3. Coercition gouvernementale et pression réglementaire
Dans certaines juridictions, la législation autorise les agences gouvernementales à contraindre les entreprises technologiques à mettre en œuvre des capacités d'accès à distance ou de surveillance.
Si un portefeuille matériel prend en charge les mises à jour de firmware, un gouvernement pourrait exiger du fabricant qu'il distribue une mise à jour accordant un accès par porte dérobée aux fonds des utilisateurs.
Les employés peuvent également faire face à des pressions directes de la part d'acteurs étatiques, d'organisations criminelles ou d'organismes de réglementation. Le mécanisme de mise à jour est le vecteur habilitant de cette coercition. Sans lui, la demande ne peut être satisfaite.
4. Assurance qualité insuffisante
Toutes les vulnérabilités de firmware ne sont pas introduites de manière malveillante. Des cycles de développement précipités, des révisions de code incomplètes et des tests insuffisants peuvent aboutir à des mises à jour introduisant involontairement de nouvelles failles de sécurité.
Lorsqu'un fabricant publie fréquemment des mises à jour — qu'il s'agisse de correctifs mineurs, d'ajouts de fonctionnalités ou de modifications d'interface — la probabilité d'introduire une vulnérabilité non intentionnelle augmente à chaque version.
5. Lacunes d'audit
Un audit de firmware est un examen complet du code source, de l'architecture et des pratiques de développement mené par une société de sécurité tierce indépendante. Son objectif est de vérifier l'absence de portes dérobées, d'évaluer la qualité des implémentations cryptographiques et d'apprécier la conformité aux normes de sécurité de l'industrie.
Des audits approfondis sont coûteux et chronophages, nécessitant souvent des centaines de milliers de dollars et plusieurs mois pour être menés à bien. Mener un audit indépendant pour chaque version de firmware est économiquement et logistiquement irréalisable pour la plupart des fabricants.
6. Exposition de la chaîne d'approvisionnement
Le processus de mise à jour du firmware constitue une chaîne d'approvisionnement complexe : le code est rédigé, révisé, compilé, signé cryptographiquement, distribué via des serveurs et installé sur l'appareil de l'utilisateur.
Chaque étape représente un point de compromission potentiel. Les attaquants peuvent cibler l'environnement de compilation, intercepter le canal de distribution ou compromettre les clés de signature utilisées pour valider l'authenticité des mises à jour. Avec la complicité d'un initié, un attaquant pourrait modifier la mise à jour en transit, livrant un firmware compromis qui passe toutes les vérifications de contrôle standard.
7. Pression sur les utilisateurs
Les fabricants de portefeuilles modifiables exigent souvent des mises à jour pour maintenir la compatibilité avec le logiciel compagnon. Les utilisateurs qui refusent peuvent subir une dégradation des fonctionnalités ou une perte d'accès à certaines fonctions.
Cette dynamique oblige les utilisateurs à accepter les mises à jour par confiance, qu'elles aient été vérifiées indépendamment ou non. Le firmware immuable supprime cette dépendance. L'appareil fonctionne tel qu'il a été livré pendant toute sa durée de vie, sans dépendance vis-à-vis de futures modifications du code.
Comment les mécanismes de mise à jour créent une surface d'attaque
Le mécanisme permettant de corriger les problèmes de firmware est lui-même une surface d'attaque qui persiste tout au long de la durée de vie de l'appareil.
Pour accepter une mise à jour de firmware, un appareil doit :
- Recevoir du code externe via un canal de communication (USB, Bluetooth),
- Valider l'authenticité du code à l'aide de signatures cryptographiques ;
- Écrire le nouveau code dans la mémoire de l'élément sécurisé, et écraser ou remplacer le firmware existant.
Si le protocole de mise à jour est défaillant, le canal de communication entre l'application compagne et le chargeur d'amorçage de l'appareil pourrait être intercepté ou usurpé par des attaques de l'homme du milieu au niveau de la couche de transport USB ou Bluetooth.
La vérification des signatures peut être contournée si les clés de signature sont exfiltrées ou si la routine de vérification est court-circuitée par injection de fautes, comme le glitching de tension, pendant la vérification.
L'opération d'écriture elle-même est vulnérable aux attaques de temps-de-vérification-à-temps-d'utilisation (TOCTOU), dans lesquelles le firmware validé est remplacé par du code malveillant entre l'étape de vérification et l'écriture effective en mémoire flash.
Un appareil dépourvu de ces capacités ne présente pas de telles surfaces d'attaque.
Risques documentés des firmwares modifiables
Plusieurs incidents bien documentés ont démontré comment les vulnérabilités de firmware peuvent compromettre les portefeuilles matériels.
- Vulnérabilité de remplacement de firmware MCU du Ledger Nano S (2018).
Le chercheur en sécurité Saleem Rashid a démontré qu'un attaquant pouvait remplacer le firmware du Ledger Nano S par une version malveillante qui exfiltrerait les clés privées. Il a réussi à télécharger un firmware modifié sur le portefeuille, qui révélerait les clés privées de l'utilisateur lors de la prochaine utilisation de l'appareil.
Il a également affirmé qu'il était possible de télécharger le firmware à distance en installant un logiciel malveillant sur l'ordinateur de la victime, qui l'inviterait à mettre à jour le firmware « défectueux » de son portefeuille. Ledger a publié la mise à jour de firmware 1.4.1 pour atténuer le problème.
- Controverse Ledger Recover (2023).
La version de firmware 2.2.1 de Ledger a introduit une nouvelle fonctionnalité de récupération permettant d'extraire les données de la phrase de récupération depuis l'élément sécurisé et de les transmettre à des tiers. Le lancement du service a révélé que le firmware Ledger possède la capacité technique d'extraire et de transmettre le matériel de la phrase de récupération.
Cette capacité existe sur chaque appareil exécutant le firmware mis à jour, que l'utilisateur souscrive ou non au service. Les utilisateurs ont souligné que cela contredisait directement la déclaration antérieure de Ledger selon laquelle les mises à jour de firmware ne peuvent pas extraire les clés privées de l'élément sécurisé.
- Campagne de phishing de firmware Blockstream Jade (2025).
Blockstream a émis une alerte de sécurité urgente avertissant d'une campagne de phishing ciblant les propriétaires de portefeuilles matériels Jade via de faux e-mails de mise à jour de firmware. Les e-mails frauduleux se faisaient passer pour des communications légitimes de Blockstream, demandant aux utilisateurs de télécharger des mises à jour de firmware en cliquant sur des liens malveillants. Le faux firmware redirigeait probablement les fonds vers des adresses contrôlées par l'attaquant une fois installé.
- Attaques de la chaîne d'approvisionnement contre les portefeuilles Ledger Nano X.
Kraken Security Labs a identifié des attaques pouvant permettre à des acteurs malveillants de prendre le contrôle d'ordinateurs connectés aux portefeuilles Ledger Nano X et d'installer des logiciels malveillants, pouvant entraîner la perte ou le vol des fonds stockés. Dans ce scénario, le firmware du processeur non sécurisé est modifié à l'aide d'un protocole de débogage pour agir comme un périphérique d'entrée, tel qu'un clavier, pouvant ensuite envoyer des frappes malveillantes à l'ordinateur hôte de l'utilisateur.
Le Ledger Nano X est livré avec la fonctionnalité de débogage activée sur son processeur non sécurisé, une fonctionnalité désactivée dès que la première « application », comme l'application Bitcoin, est installée sur l'appareil. Cependant, avant l'installation de toute application, l'appareil peut être re-flashé avec un firmware malveillant
pouvant compromettre l'ordinateur hôte, de manière similaire aux attaques « BadUSB » et « Rubber Ducky ».
Dark Skippy : une étude de cas sur les attaques basées sur le firmware
Divulguée en août 2024, l'attaque Dark Skippy représente l'une des menaces basées sur le firmware les plus techniquement sophistiquées identifiées à ce jour. Elle démontre la gravité du risque que pose un firmware compromis pour les utilisateurs de portefeuilles matériels.
Aperçu technique
Dark Skippy cible le processus de génération de nonce utilisé lors de la signature cryptographique des transactions. En fonctionnement normal, un portefeuille matériel génère un nombre aléatoire (nonce) chaque fois qu'il signe une transaction. Ce caractère aléatoire est essentiel à la sécurité du schéma de signature. L'attaque se déroule en quatre étapes :
Compromission du firmware : Un firmware malveillant est installé sur le portefeuille matériel via une mise à jour falsifiée, une attaque de la chaîne d'approvisionnement ou un accès physique.
Manipulation du nonce : Au lieu de générer des nonces aléatoires, le firmware compromis produit des nonces faibles et déterministes dérivés de portions de la phrase de récupération de l'utilisateur.
Exfiltration des données : Lorsque l'utilisateur signe une transaction, des fragments de la phrase de récupération sont intégrés dans la signature de la transaction et diffusés sur la blockchain.
Reconstruction de la seed : L'attaquant surveille la blockchain à la recherche de signatures affectées et applique l'algorithme Kangourou de Pollard pour calculer la phrase de récupération originale à partir des données de nonce publiques.
Implications
Les variantes antérieures des attaques d'exfiltration basées sur les nonces nécessitaient des dizaines de transactions signées pour extraire suffisamment de données. Dark Skippy peut extraire la phrase de récupération complète à partir de seulement 2 transactions. Une seule utilisation d'un appareil compromis suffit à vider entièrement le portefeuille.
L'attaque est également exceptionnellement difficile à détecter. Les signatures compromises sont indiscernables des signatures légitimes pour l'utilisateur. Aucun message d'erreur, aucune anomalie visuelle et aucun indicateur comportemental n'alertent l'utilisateur sur la violation. L'extraction se produit silencieusement, et les victimes peuvent ne découvrir la compromission qu'après le transfert de leurs fonds.
Les chercheurs responsables de la divulgation (Lloyd Fournier et Nick Farrow de Frostsnap, et Robin Linus de ZeroSync) ont notifié en privé plus de 15 fournisseurs de portefeuilles matériels en mars 2024 avant de publier leurs conclusions. À l'heure actuelle, Dark Skippy n'a pas été observé dans la nature, mais la preuve de concept est entièrement fonctionnelle et le code de démonstration a été rendu publiquement accessible.
L'argument contre le firmware open source
La divulgation open source rend le code source publiquement accessible, permettant à davantage de personnes de trouver des bogues. Cela a conduit à des avantages en matière de sécurité dans les systèmes d'exploitation, les bibliothèques cryptographiques et les protocoles réseau.
Cependant, la révision open source est volontaire, non structurée et n'offre aucune couverture garantie. Il n'existe aucune obligation qu'un réviseur spécifique examine un chemin de code particulier.
Des projets open source de premier plan ont hébergé des vulnérabilités critiques pendant des années (Heartbleed dans OpenSSL a persisté plus de deux ans dans un code largement révisé). La simple disponibilité du code source ne garantit pas qu'il a été examiné de manière compétente, ni que les réviseurs possèdent l'expertise spécialisée requise pour le firmware des éléments sécurisés.
De plus, la publication du code source du firmware d'un portefeuille matériel introduit ses propres risques. Elle fournit aux adversaires une carte détaillée des mécanismes internes du système, permettant potentiellement des attaques ciblées contre des comportements spécifiques à l'implémentation.
C'est pourquoi Tangem emploie une approche de sécurité par la profondeur : le firmware est à source fermée mais formellement évalué par des experts accrédités, tandis que l'application compagne et le SDK sont entièrement open source sur GitHub.
L'architecture de firmware immuable de Tangem
Avec Tangem, le firmware est chargé sur l'élément sécurisé lors de la fabrication et ne peut pas être modifié ou remplacé ultérieurement. Il n'existe aucun mécanisme de mise à jour, aucune interface USB pour le flashage du firmware et aucun canal sans fil pour les mises à jour par voie hertzienne. L'élément sécurisé est architecturalement conçu pour rejeter toute tentative d'écriture d'un nouveau code après l'installation initiale.
Critères | Portefeuilles modifiables | Tangem (Immuable) |
Mises à jour du firmware | Activées (surface d'attaque persistante) | Aucune (verrouillé en usine) |
Modèle d'audit | Requis par version ; souvent omis | Unique ; valide en permanence |
Exposition aux attaques internes | Présente tout au long de la vie du produit | Éliminée par conception |
Vulnérabilité à Dark Skippy | Vulnérable si le firmware est compromis | Non applicable |
Complexité de la chaîne d'approvisionnement | Élevée (plusieurs étapes de livraison du code) | Minimale (aucune infrastructure de mise à jour) |
Exigence de confiance | Continue (à chaque mise à jour) | Unique (code d'usine audité) |
Lors de la configuration du Tangem Wallet, l'application mobile Tangem vérifie que le firmware sur la carte ou la bague est authentique et que le portefeuille a été produit par Tangem. Techniquement, il est impossible de trouver ou d'utiliser un Tangem Wallet avec un firmware modifié.
Répondre aux affirmations de Ledger
Ledger a publiquement commenté Tangem à plusieurs reprises, et son propre équipe de recherche en sécurité a mené des recherches approfondies sur nous. Ce contexte mérite d'être gardé à l'esprit lorsque nous répondons aux affirmations circulant sur Tangem.
Affirmation : « Geler le système ne protège pas les utilisateurs, il protège l'attaquant. »
Cette déclaration suggère que l'immuabilité n'est qu'une inaction, donnant l'impression qu'un système statique pourrait être moins sûr ; en réalité, c'est l'approche courante. Comme nous l'avons mentionné précédemment, vos cartes de crédit, passeports et YubiKeys portent tous un firmware immuable. Un système immuable coupe le principal outil à distance de l'attaquant : l'injection de code malveillant via des mises à jour.
L'approche de Ledger est plutôt inhabituelle et risquée ; chaque mise à jour de firmware publiée offre à un attaquant une nouvelle opportunité.
Affirmation : « Les lacunes d'audit de Tangem laissent des périodes pluriannuelles sans contrôle externe. »
Ledger a soutenu que les deux audits de Tangem (2018 par Kudelski et 2023 par Riscure) laissent des lacunes où le contrôle externe est absent. Cet argument sur les lacunes d'audit a moins de force contre le firmware immuable que contre le firmware modifiable. Lorsque le firmware change entre les audits, la période non auditée implique l'exécution d'un nouveau code non révisé. Lorsque le firmware est immuable, la période non auditée implique l'exécution du même code qui a été préalablement révisé.
Affirmation : « Tangem ne peut pas s'adapter aux nouvelles courbes cryptographiques ou aux protocoles blockchain. »
Précédemment, Ledger a soutenu que le firmware immuable ne peut pas prendre en charge de nouvelles courbes cryptographiques, pouvant potentiellement conduire à l'obsolescence. Cependant, cela confond deux couches architecturales.
Le firmware de Tangem implémente les primitives cryptographiques fondamentales (ECDSA et EdDSA) utilisées par l'écrasante majorité des réseaux blockchain.
La prise en charge de nouvelles blockchains, de normes de jetons et de protocoles est implémentée dans l'application compagne au niveau de la couche applicative, et non dans le firmware. Tangem prend actuellement en charge plus de 85 blockchains et plus de 16 000 jetons, et continue d'ajouter de nouveaux réseaux via des mises à jour d'application sans modifier le firmware de la carte.
Affirmation : « Tout problème trouvé dans le firmware Tangem ne peut pas être corrigé. »
Le risque posé par une vulnérabilité non corrigée dans un firmware immuable doit être mis en balance avec les risques introduits par le mécanisme de mise à jour lui-même. Comme démontré tout au long de cet article, le pipeline de mise à jour introduit des menaces persistantes.
La question pertinente n'est pas de savoir si le firmware immuable est exempt de compromis, mais si la position de sécurité nette est supérieure. Les preuves soutiennent fortement cette conclusion.
Chronologie des audits indépendants
La transparence sur l'évaluation de la sécurité est essentielle pour la confiance des utilisateurs. L'historique complet des audits indépendants de Tangem prouve notre engagement envers les évaluations futures.
Année | Société | Périmètre et conclusions |
2018 | Kudelski Security (Suisse) | Révision complète du firmware. Confirmation que les clés privées sont générées via un TRNG matériel. Aucune porte dérobée identifiée. Aucune vulnérabilité pouvant entraîner une perte de fonds. |
2023 | Riscure (Pays-Bas) | Audit complet du firmware. Aucune porte dérobée, aucun algorithme caché, aucune vulnérabilité exploitable confirmés. Qualité de l'implémentation cryptographique vérifiée. |
Foire aux questions
Que se passe-t-il si une vulnérabilité est découverte dans le firmware immuable de Tangem ?
C'est un scénario très improbable. Le firmware de Tangem a été audité indépendamment par deux grandes sociétés de sécurité (Kudelski Security et Riscure), réduisant considérablement la probabilité d'une faille critique non détectée.
Un attaquant peut-il installer un firmware malveillant sur une carte Tangem ?
Non. La puce de l'élément sécurisé est architecturalement conçue pour rejeter toute opération d'écriture de firmware après l'installation initiale en usine. Il n'existe aucune interface ni aucun mécanisme pour livrer un nouveau code. Même avec la possession physique de la carte, un attaquant ne peut pas modifier le firmware.
Qu'est-ce que Dark Skippy, et affecte-t-il Tangem ?
Dark Skippy est une méthode d'attaque basée sur le firmware divulguée en 2024 qui peut extraire la phrase de récupération complète d'un portefeuille à partir d'aussi peu que deux transactions signées. Elle fonctionne en remplaçant les nonces aléatoires dans le processus de signature par des valeurs déterministes dérivées de la seed.
Dark Skippy nécessite la présence d'un firmware malveillant sur l'appareil. Le firmware de Tangem est immuable et ne peut pas être modifié après la fabrication, ce vecteur d'attaque ne s'applique donc pas.
Le firmware immuable est-il simplement un moyen d'éviter la complexité des mises à jour ?
Non. C'est une décision délibérée d'architecture de sécurité qui élimine des catégories entières de risques : les menaces internes, l'ingénierie sociale, la coercition réglementaire, les attaques de la chaîne d'approvisionnement et la lacune d'audit inhérente aux publications fréquentes de firmware.
Y a-t-il des limites au firmware immuable ?
Le principal compromis est qu'aucune nouvelle fonctionnalité ne peut être ajoutée au firmware après la production. Cependant, la majorité des améliorations de fonctionnalités, la prise en charge de nouvelles blockchains et les améliorations de l'expérience utilisateur sont livrées via l'application mobile compagne de Tangem, qui est régulièrement mise à jour et entièrement open source.
Que signifie la certification EAL6+ ?
EAL6+ (Niveau d'assurance d'évaluation 6, augmenté) est l'une des certifications de sécurité les plus élevées disponibles dans le cadre de la norme internationale Common Criteria (ISO/IEC 15408).
Elle signifie que la puce a été vérifiée de manière semi-formelle et rigoureusement testée contre des attaques physiques et par canal auxiliaire sophistiquées. Le même niveau de certification est requis pour les passeports internationaux, les documents d'identité nationaux et les systèmes de paiement gouvernementaux hautement sécurisés. Un aperçu détaillé de l'architecture de sécurité de Tangem est disponible dans la documentation des fonctionnalités de sécurité.
Pourquoi le firmware de Tangem est-il à source fermée si l'application est open source ?
Le firmware s'exécute à l'intérieur d'un élément sécurisé certifié et effectue un ensemble limité d'opérations cryptographiques. L'application compagne, qui gère les fonctionnalités destinées aux utilisateurs et interagit avec les blockchains, bénéficie d'un examen communautaire étendu et est entièrement open source sur GitHub. Cette approche en couches adapte la méthode de vérification au profil de risque de chaque composant.
Références
- Dark Skippy — Divulgation officielle — Le document de recherche original et la FAQ technique des chercheurs en sécurité ayant identifié l'attaque. darkskippy.com
- Merkle Science : Analyse de la menace Dark Skippy — Analyse technique détaillée du vecteur d'attaque Dark Skippy et de ses implications pour la sécurité des portefeuilles matériels. www.merklescience.com
- Portail Common Criteria (ISO/IEC 15408) — La norme internationale régissant la certification de sécurité EAL pour les composants matériels, y compris les éléments sécurisés. www.commoncriteriaportal.org
- Cointelegraph : Le risque caché des firmwares modifiables — Reportage industriel sur les implications de sécurité des mécanismes de mise à jour de firmware dans les portefeuilles matériels. cointelegraph.com
- CryptoSlate : Couverture technique de Dark Skippy — Reportage technique sur la preuve de concept Dark Skippy et son calendrier de divulgation. cryptoslate.com
- Saleem Rashid : Briser le modèle de sécurité Ledger — Recherche originale de 2018 démontrant le remplacement du firmware MCU sur le Ledger Nano S. saleemrashid.com
