« Pas vos clés, pas vos bitcoins. » C’est un refrain courant parmi les défenseurs de la cryptoconnaissance ; si vous ne contrôlez pas vous-même les clés privées de votre cryptoconnaissance, celle-ci peut être confisquée ou volée.
C’est là qu’entrent en jeu les porte-monnaie électroniques, qui sont un élément essentiel de l’écosystème de la cryptoconnaie, permettant aux détenteurs de crypto de contrôler leurs propres clés privées et d' »être leur propre banque ».
Les portefeuilles de matériel ne sont cependant pas sans poser de problèmes. La génération actuelle de porte-matériels utilise tous au moins quelques éléments de conception fermés. Cela signifie que les utilisateurs doivent se fier aux affirmations du fabricant selon lesquelles le dispositif est, en fait, sûr ; que les pirates n’ont pas trouvé le moyen de compromettre son matériel et d’accéder aux fonds qu’il contient.
Aujourd’hui, une nouvelle génération de projets de matériel cryptographique prévoit d’utiliser la technologie à source ouverte pour briser cette barrière de confiance une fois pour toutes.
Le problème de la confiance
Les portefeuilles de matériel actuels nécessitent tous un certain degré de confiance. Il faut avoir confiance que les fabricants ou d’autres acteurs de la chaîne d’approvisionnement des composants n’ont pas inséré de portes dérobées, que le portefeuille contient effectivement les éléments de sécurité qu’il prétend et qu’il peut fournir la sécurité que les utilisateurs recherchent. Les utilisateurs doivent également avoir confiance que, dans le cas où des éléments de sécurité propriétaires sont compromis, le fabricant ne se contentera pas de dissimuler la vulnérabilité.
La société Foundation Devices, récemment créée, est l’un des nombreux fabricants de matériel informatique qui pensent que la voie à suivre est celle de l’open-source, c’est-à-dire la mise à disposition gratuite du code et des modèles pour tous.
Bien que la société soit encore entourée de mystère, elle promet de lancer un nouveau portefeuille de matériel Bitcoin cet été. Tout ce qui concerne l’appareil, y compris les « schémas de circuit, les fichiers de conception et les microprogrammes », sera à code source ouvert. Cela signifie que n’importe qui, n’importe où, pourra examiner sa conception et son code, ce qui permettra d’identifier rapidement les bogues, les vulnérabilités ou même les backdoors.
L’open-source est-il la solution ?
Pour les dispositifs de fondation, le simple fait de déclarer qu’un élément matériel est sûr est pas assez. Elle soutient que les fabricants de porte-matériels devraient ouvrir leurs schémas de circuits, leurs microprogrammes et autres, afin qu’ils puissent être examinés et vérifiés par la communauté Bitcoin.
« Les fabricants de matériel informatique devraient sérieusement envisager d’adopter l’open source », a déclaré Zach Herbert, PDG de Foundation Devices Décrypter. « Cela conduirait à une marque plus forte et à une communauté plus active, tout en donnant aux clients une confiance accrue dans la sécurité et la fiabilité des produits proposés ».
La société encourage les autres producteurs de porte-matériels à se conformer aux critères de la OSHWA, un ensemble de lignes directrices visant à garantir que leurs porte-matériels sont réellement open-source. Outre le fait que leur porte-monnaie électronique est open-source sous la licence CERN OHL ou une licence similaire, cela devrait contribuer à améliorer la confiance, tout en garantissant l’exactitude de leurs affirmations grâce à un examen public.
« Le matériel actuel est opaque et secret – ce qui est fondamentalement incompatible avec les logiciels libres comme Bitcoin. »
Zach Herbert
« Bitcoin ne fonctionne que parce qu’il est open source, ce qui permet à n’importe qui de voir le code et de comprendre comment il fonctionne », a déclaré Herbert. « Le matériel actuel est opaque et secret – ce qui est fondamentalement incompatible avec les logiciels libres comme Bitcoin. »
Le mouvement open-source
Foundation Devices n’est pas le premier à suggérer de suivre la voie de l’open-source. Plusieurs producteurs de porte-matériels, dont SatoshiLabs, fabricant de Trezor portefeuille, ont déjà rendu au moins une partie de leur matériel ou de leur pile de logiciels open source.
SatoshiLabs a redoublé son engagement en faveur du matériel à source ouverte avec sa nouvelle société dérivée, Place des Tropiques. La nouvelle entreprise vise à construire un élément sécurisé entièrement open-source, entièrement contrôlable – essentiellement une puce à microprocesseur qui a été certifiée comme étant sécurisée.
Pour y parvenir, la firme prévoit d’ouvrir progressivement le code de son nouvel élément de sécurité, jusqu’à ce que l’ensemble soit finalement open-source, sans compromettre sa sécurité. « L’objectif est de permettre l’accès aux spécifications de conception, à la vérification et aux tests sans obscurité », a déclaré SatoshiLabs dans un annonce récente. Cette nouvelle puce sera également intégrée dans un nouveau porte-monnaie électronique de SatoshiLabs.
Aller au-delà de la certification
À l’heure actuelle, la majorité des fabricants de porte-monnaie électronique s’appuient sur leur réputation et sur des audits de sécurité réalisés par des tiers pour commercialiser et vendre leurs produits comme étant sûrs.
Cependant, certains s’interrogent sur la fiabilité des certifications de sécurité. SatoshiLabs souligne que « les certifications ne sont testées que par rapport à un ensemble connu de scénarios prédéfinis », alors que Foundation Devices affirme que « les certifications ne remplacent pas les examens indépendants ».
« Aujourd’hui, si vous avez besoin d’un matériel construit avec la sécurité, vous n’avez pas d’autre choix que de vous fier à des éléments de sécurité propriétaires, » Ruben Merre, co-fondateur et PDG d’un fabricant de porte-monnaie électronique NGRAVEa déclaré Décrypter. « Ceux-ci sont considérés comme sûrs parce qu’ils ont été testés par des organismes de certification. C’est un défi, car les incitations sont faussées : on pourrait faire valoir que ces organismes de certification sont du côté des vendeurs de puces, car ce sont eux qui les paient ».
« Aujourd’hui, si vous avez besoin d’un matériel construit avec la sécurité, vous n’avez pas d’autre choix que de vous appuyer sur des éléments de sécurité propriétaires ».
Ruben Merre
Pour réduire le risque de compromettre un élément de sécurité, NGRAVE a plutôt choisi d’utiliser son élément de sécurité pour n’ensemencer que partiellement la création de la clé ; si son élément de sécurité est craqué, l’attaquant ne peut pas extraire la graine complète.
Charles Guillemet, directeur technique, a brièvement exposé son point de vue sur le sujet dans un récent Fil de discussion sur Twitter. Dans le fil de discussion, M. Guillemet a expliqué que le laboratoire d’attaque chargé de briser la sécurité d’une puce élabore soigneusement un plan de test basé sur le code, et modifie souvent le plan de test initial si ses conclusions le justifient. Cela signifie que la manière dont la puce sera attaquée n’est pas exactement gravée dans la pierre, ce qui rend difficile pour les fabricants de puces de simplement mettre la puce à l’épreuve de ces attaques spécifiques pour obtenir la certification.
Après les tests, le laboratoire signalera toute vulnérabilité qu’il trouve au fabricant de la puce, qui tentera de la corriger. Lorsque l’organisme de certification est convaincu que les problèmes ont été résolus, la puce est alors certifiée. Les certifications représentent donc un moyen simple de démontrer la sécurité d’une puce, mais ne signifient pas nécessairement qu’elle est résistante aux attaques. Cependant, ce n’est pas la même chose que les examens indépendants de masse qui seraient possibles avec du matériel à source ouverte.
Le défi de l’open-source
Bien qu’il soit clair que les certifications sont une solution imparfaite, M. Ledger a déclaré qu’il est plus facile de dire que de faire de l’approvisionnement ouvert de l’élément sécurisé.
« Créer une SE à code source ouvert [secure element] est un projet très excitant et ambitieux, bien que parsemé d’embûches, car il s’agit de transformer toute une industrie en révolutionnant ses conventions ». Benoît Pellevoizin, directeur général de l’OCM, a déclaré Décrypteren ajoutant que la société vise à être « aussi ouverte que possible dans les limites de ce que l’industrie permet ». La question, a-t-il ajouté, est de savoir « combien d’efforts sont nécessaires pour ne pas faire de cet objectif un vœu pieux ».
Comme l’octroi de licences pour les outils nécessaires à la conception de portefeuilles de matériel cryptographique à source ouverte est un processus coûteux, il reste à voir quelles entreprises disposent du type de capital nécessaire pour une telle entreprise – en particulier lorsque la sécurité des éléments de sécurité déjà établis sera également une tâche de longue haleine.
« Il est très difficile de construire une SE open-source, du point de vue des coûts, de la technique, des brevets et du temps », a déclaré M. Pellevoizin. Il est donc probable que nous soyons encore à plusieurs années de voir les premiers éléments de sécurité open-source pour les portefeuilles de matériel.