Cryptos : Ledger promet de la transparence pour calmer les craintes sur son service de stockage

La startup française, spécialisée dans la conservation des cryptomonnaies dans un portefeuille physique, avait annoncé la sortie de Recover, un service permettant à ses clients de récupérer leurs fonds crypto, en cas de perte de leur appareil. Une annonce qui est très mal passée auprès de la communauté crypto puisque les utilisateurs pensaient que Ledger n'avait en aucun cas accès à leurs données. Mais la fonctionnalité Recover prouve que la société peut avoir accès aux portefeuilles à distance.
Maxime Heuze
Avec son service Recover, Ledger veut proposer à ses clients de chiffrer et stocker la phrase de récupération de leur portemonnaie sur les serveurs d'entreprises partenaires.
Avec son service Recover, Ledger veut proposer à ses clients de chiffrer et stocker la phrase de récupération de leur portemonnaie sur les serveurs d'entreprises partenaires. (Crédits : Ledger)

Cela partait d'une bonne intention pour les propriétaires de crypto-actifs. Lorsque l'on possède des cryptomonnaies, il existe deux moyens de les conserver. Soit sur une plateforme en ligne, soit, et c'est la proposition de valeur de Ledger, de les stocker sur un petit appareil électronique similaire à une clé USB. Mais parfois, il arrive que l'on perde le précieux objet. Pour le spécialiste français, leader de ce segment, il fallait donc permettre aux clients de ne pas perdre l'accès à leurs fonds.

Lorsque cela se produit, le client se retrouve à l'étape dite de la « phrase de récupération ». Ainsi, si l'ancien appareil est cassé ou perdu, Ledger permet à l'utilisateur d'inscrire la phrase qui fait office de mot de passe dans le nouvel appareil.

Or, jusqu'ici, les détenteurs de cryptomonnaies (des actifs s'échangeant sur un réseau d'ordinateurs indépendants appelé blockchain) pensaient être les seuls à avoir accès à ses fonds, même en cas de perte de la phrase de récupération, et que Ledger lui-même n'avait pas accès à la phrase-sésame. Mais le 16 mai dernier, Ledger est venu ébranler cette certitude avec le lancement du service Ledger Recover.

Lire aussiFaillite FTX: le portefeuille personnel, une alternative aux plateformes d'échanges pour gérer ses cryptomonnaies?

Concrètement, non seulement Ledger accède à la phrase, mais elle propose de la découper en trois parties et de dispatcher chacun de ses morceaux entre trois sociétés Coin cover et EscrowTech, deux prestataires de sécurité informatique, et Ledger.

Un big bang dans la communauté crypto

Cette proposition de sauvegarde conservée dans les serveurs d'entreprises extérieures a fait l'effet d'une bombe. En une semaine, la toile s'est enflammée et les tweets et vidéos d'internautes furieux contre la startup ont fusé.

« La réaction de la communauté a été très violente car jusqu'à maintenant, beaucoup de personnes pensaient que leur phrase de récupération ne pouvait pas quitter leur appareil et avec cette annonce, Ledger avoue publiquement qu'elle peut les transférer », explique à La Tribune Stanislas Barthelemi, consultant crypto et Web 3 chez KPMG.

Là où le bât blesse, c'est justement que la plupart des clients de Ledger ont acheté leurs produits (entre 50 et 300 euros) dans l'optique d'être les seuls à avoir la main sur leurs cryptos.

Pour ne rien arranger, Ledger a même tweeté que « techniquement parlant, il a toujours été possible de créer un micrologiciel qui facilite l'extraction de clés » (c'est-à-dire de portefeuilles) avant de supprimer son tweet. Interrogé par nos confrères de The Big Whale, Charles Guillemet, le directeur technique de Ledger, a même avoué que la phrase de récupération pourrait être techniquement récupérée par des gouvernements « si des États le demandaient ».

En réalité, si la plupart des clients de Ledger pensaient jusqu'à aujourd'hui avoir la certitude de ne jamais pouvoir sortir leur phrase de récupération, « Rien n'empêche Ledger de faire une mise à jour de leur firmware et d'installer une potentielle porte dérobée (backdoor), qui permettrait d'accéder à la phrase de l'utilisateur. Ils contrôlent leur matériel et peuvent en faire ce qu'ils veulent. Ce problème de confiance existe depuis le début de Ledger et est itinérant au fait de faire confiance à une entité tierce pour assurer la sécurité de ses actifs. C'est une possibilité à prendre en compte avant d'acheter un portefeuille physique de crypto, quelque soit la marque », lâche Adrien Hanot, consultant crypto indépendant.

La nouveauté réside donc dans le fait que la startup valorisée 1,3 milliard d'euros officialise la possibilité d'accéder aux portefeuilles de leurs clients à distance.« Avec Recover, l'entreprise ne peut cependant pas avoir accès à la phrase de récupération des clients sans leur consentement. Il faut que ces derniers acceptent de faire une mise à jour de leur appareil pour cela », nuance Stanislas Barthelemi.

Ledger joue la carte de l'open-source

Le scandale réputationnel qui touche l'entreprise basée à Vierzon est donc d'une ampleur sans précédent pour elle et arrive à un très mauvais moment. Ledger a effectué une levée des fonds de 100 milliards d'euros le 30 mars en partie pour produire en masse ses nouveaux appareils appelés Stax et va devoir à présent les écouler. Chose qui pourrait s'avérer compliquée si la perte de confiance impacte les ventes du groupe.

Pour retrouver confiance et continuer de vendre leurs appareils, l'entreprise a publié un communiqué choc le 23 mai.

« Nous avons donc pris la décision d'accélérer notre stratégie open source ! Nous incluerons autant que possible le système d'exploitation Ledger, et Ledger Recover, qui ne sera pas publié tant que ce travail ne sera pas terminé », explique dans le communiqué Pascal Gauthier, le PDG de Ledger.

La startup souhaite donc laisser, autant que possible, les développeurs analyser leur code afin de s'assurer que Ledger n'ont pas implanté de porte dérobée dans leurs appareils et qu'ils n'en installeront pas dans les futures mises à jour. « La réaction de Ledger a été excellente car rendre le code open source permet de montrer à tout le monde comment fonctionne le système de Ledger et de prôner la transparence », reconnaît Stanislas Barthelemi qui estime finalement que « à court terme cette affaire est une épine dans le pied de Ledger, mais à moyen et long terme ça n'aura pas d'incidence ».

Pour l'heure, peu d'alternatives s'offrent aujourd'hui aux détenteurs de cryptos voulant conserver eux-mêmes leurs actifs. Ses concurrents (Trezor, Cool Wallet) restent sur de faibles volumes de vente. Ledger est encore aujourd'hui leader des services d'appareils pour portefeuilles crypto avec 6 millions de produits vendus depuis leur création en 2014.

Maxime Heuze

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.