Samsung dit que les smartphones sont les meilleurs portefeuilles de crypto-monnaie, les experts ne sont pas d'accord

Avec plus de 761 millions de dollars pour les vols de cryptomonnaie uniquement cette année, la sécurité est devenue un sujet brûlant dans la technologie de la blockchain. Mais quelle est exactement la meilleure façon de stocker vos actifs numériques sur des réseaux décentralisés? Si vous demandez à Samsung, la réponse pourrait être votre smartphone. Mais si vous demandez à un groupe d'experts de la sécurité, les choses se compliquent beaucoup.

Dans un article de publié le mois dernier sur sa plate-forme Insights, Samsung suggérait: pour blockchain et cryptocurrency. "La recherche est passée la plupart du temps inaperçue, jusqu'à la semaine dernière quand il a été soudainement repris par plusieurs sites de nouvelles de crypto-monnaie. Mais alors que la recherche fait certainement de gros titres ce buzz autour de la sécurité des smartphones est-il justifié? Nous avons décidé de le découvrir.

Nous avons demandé à un certain nombre d'experts en sécurité ce qu'ils pensaient des revendications de Samsung. Et bien que les smartphones puissent être une bonne solution de stockage à court terme, le stockage de la crypto-monnaie sur les combinés comporte de nombreux risques.

Pourquoi Samsung pense que les smartphones sont parfaits pour la cryptomonnaie

ont fait valoir que les smartphones – en particulier les téléphones propres à Samsung – étant évidemment équipés d’environnements d’exécution sécurisée (TEE, Short Execution Environments), ils sont particulièrement adaptés au stockage d’actifs alimentés par une blockchain.

le matériel du téléphone est complètement séparé de son processeur principal et de son système de stockage. La seule façon d'accéder aux informations stockées sur un TEE consiste à développer ce qu'on appelle un "trustlet", une petite application programmée pour accéder à des informations spécifiques stockées dans les TEE via une API dédiée, et soi-disant sécurisée.

un environnement d'exécution séparé avec sa propre mémoire et le stockage persistant, complètement isolé du reste de l'appareil ", a écrit Snyder. "Le système d'exploitation Android ne peut pas atteindre le TEE, même si le premier est complètement compromis. La seule façon d'accéder au TEE est d'utiliser une API qui appelle les petites applications s'exécutant dans les '' trustlets '' de TEE. '"

" Avec un portefeuille correctement écrit qui utilise des trustlets pour gérer les clés, la sécurité est très serrée. " Il a poursuivi: «Si ces clés privées sont dans le TEE et uniquement accessibles via un trustlet, il n'y a aucune possibilité que le malware puisse extraire les clés directement. Et avec des plates-formes comme Samsung Knox qui ajoutent des protections supplémentaires sur le TEE aux fonctionnalités Android normales, les clés sont encore mieux protégées. "

C'est en définitive ce qui différencie les smartphones des portables. Les ordinateurs portables ne sont pas équipés de TEE, ce qui rend le logiciel de portefeuille beaucoup plus vulnérable aux logiciels malveillants.

Les smartphones ne sont pas à la hauteur

Malgré la sécurité accrue des TEE, les smartphones ne sont nullement exposés aux attaques. un TEE est certainement mieux que de ne pas avoir un TEE parce que les clés privées sont elles-mêmes mieux protégées », explique Jameson Lopp, développeur de Bitcoin

dans un courriel à Hard Fork. " TOUJOURS, il existe encore quelques vecteurs d'attaque qui peuvent se produire ailleurs dans la pile logicielle."

"Les logiciels malveillants peuvent affecter d'autres composants critiques de l'opération de portefeuille lors de la création d'une transaction. être envoyé à l'adresse d'un attaquant ", a ajouté Lopp.

Nous avons également demandé à Matthew Green, professeur de cryptographie à John Hopkins, de nous parler de la pièce de Samsung. "C'est compliqué", écrivait-il dans un courriel à Hard Fork, "les détails importent beaucoup."

"Il est vrai que les TEE sont une bonne chose pour stocker des secrets cryptographiques", nous a-t-il dit. "Ils isolent les clés secrètes du reste des applications et du système d'exploitation du téléphone, ce qui les rend moins vulnérables aux logiciels malveillants simples."

Mais ce mécanisme s'accompagne de compromis.

"Il y a quelques mises en garde" Green a continué. "Pour être utiles, les applications du téléphone doivent être capables de faire des requêtes au TEE, les demandes allant jusqu'à" envoyer des Bitcoins à une personne spécifique ". Ainsi, des logiciels malveillants sophistiqués risquent de ne pas pouvoir extraire les clés du TEE, mais en compromettant une application, ils pourraient être en mesure de faire le paiement de vos fonds TEE. "

" C'est presque aussi mauvais ", a souligné le professeur de cryptographie. "Et même des contre-mesures évidentes comme l'utilisation d'un mot de passe ne sont que peu utiles, car un malware particulièrement sophistiqué peut attendre que vous entriez le mot de passe pour effectuer une transaction légitime."

qu'ils ne sont pas tous créés égaux. Comme Green l'a souligné, "la qualité et la sécurité des TEE diffèrent" selon qui les fabrique. En effet, des chercheurs ont déjà découvert des trous de sécurité béants dans les TEE développés par des noms familiers tels que Qualcomm et TrustZone.

En toute justice, Green fait remarquer que ce n'est pas une «solution miracle», les TEE rendent effectivement les tâches des pirates plus difficiles.

Une chose que Green et Lopp ont mise en évidence est que, finalement, le niveau de sécurité fourni par un appareil est directement lié au attaquer les vecteurs, il est susceptible de. Dans le cas des smartphones, ils sont presque toujours connectés à des réseaux cellulaires ou Wi-Fi, ce qui augmente considérablement le nombre d'exploits possibles.

Les smartphones sont-ils toujours mauvais pour stocker la crypto-monnaie? les moments où votre smartphone serait plus qu'idéal pour stocker les cryptomonnaies et autres ressources numériques. Le trading est l'un de ces exemples.

"Si vous échangez ou utilisez activement vos pièces contre des paiements, vous devez les avoir dans un programme auquel vous pouvez accéder rapidement", a déclaré Mikko Hyppönen, expert en sécurité de F-Secure. Pour ce faire, un portefeuille sur smartphone moderne avec la sécurité physique activée est un choix pratique. "

" Les iPhones et les appareils Android avec TEE me viennent à l'esprit ", a-t-il poursuivi. "Ils seraient clairement meilleurs que sur un PC ou un Mac."

Néanmoins, Hyppönen prévient que le stockage de grandes quantités de crypto-monnaie sur votre smartphone n'est peut-être pas une décision intelligente. Dans de tels cas, il recommande d'utiliser un portefeuille de matériel spécialisé comme Trezor ou Ledger.

Lopp trop secondes les préoccupations de Hyppönen. "Même avec un TEE, je n'aurais jamais mis autant de valeur dans un porte-monnaie unique que je garderais dans n'importe quel autre portefeuille que je porte avec moi", a-t-il dit à Hard Fork

. Trezor et Ledger sont construits avec des fonctionnalités minimales afin de réduire le nombre total de vecteurs d'attaque », poursuit-il. "Ils seront toujours plus sûrs que n'importe quel portefeuille fonctionnant sur un système d'exploitation à part entière."

Bien que Samsung ait raison, les TEE sont parfaits pour la sécurité, mais la complexité supplémentaire qui les accompagne ouvre aussi les smartphones à une série de nouvelles attaques – attaques qui seraient souvent impossibles sur des solutions de portefeuilles matérielles spécialisées.

Donc, même s'il peut être judicieux de garder une valeur de crypto-monnaie de quelques centaines de dollars sur votre smartphone, vous feriez mieux d'investir dans une cryptographie simple.

"Comme le dit le vieil adage de la sécurité", a déclaré Lopp à Hard Fork, "la complexité est l'ennemi de la sécurité".

Publié le 2 août 2018 – 15:30 UTC