Nouveau crypto wallet physique par Kapersky : un mauvais plan ?
Après avoir rédigé mon article décrivant le fonctionnement du Ledger Wallet Nano S, je suis tombé sur deux nouveaux produit fabriqués par Kapersky Labs, l'éditeur d'antivirus bien connu : le Ballet et le Securator.
Avant d'aller plus loin, si vous voulez comprendre l'intérêt et le fonctionnement d'un hardware wallet, (portefeuille physique) et pourquoi il faut absolument en avoir un pour sécuriser ses cryptos, lisez mon article sur le ledger.
Les produits
Comme le montre l'image plus haut, les deux devices ressemblent à des vieilles clés USB. Le Ballet est le plus simple et coute $25. Le Securator coute quatre fois plus cher ($99), est légèrement plus gros et contient en plus un écran et une prise lightning (iPhone).
Le design présenté n'est peut-etre pas le final mais de ce qu'on peut y voir :
- Tous deux sont équipés d'une prise USB fixe (comme sur les vieilles clés USB). Il faudra un adaptateur pour pouvoir les utiliser sur des machines récentes équipées d'USB-C ;
- On ne peut pas attacher un cordon (très utile pour ne pas perdre la clé)
- Le micro-controleur a l'air classique, et équivalent au ST31/STM32. S'ils avaient mieux (comme la certification CC EAL5+ du Ledger) ils l'auraient spécifié.
- Ils ont prévu (mais pas développé encore vu la mauvaise qualité des captures d'écran) une application iOS pour interagir avec un iPhone (et sûrement Android aussi) par communication sans-fil en NFC ou directe par prise lightning pour le Securator. Vu le faible niveau d'ouverture de Core NFC sur iPhone, j'ai un gros doute sur la capacité de Kapersky de pouvoir proposer du sans-fil pour les téléphone Apple. Ce qui voudrait dire que seul la version 'luxe' serait compatible avec un iPhone.
- Il n'est pas mentionné d'application Mac, Linux ou Windows, ni de compatibilité avec MyCrypto. Est-ce qu'on devra se connecter sur une instance propriétaire Kapersky pour effectuer des transactions ? J'en ai peur.
Les Kapersky supportent peu de monnaies par rapport à la vingtaine du ledger, mais les principales y sont : Bitcoin, Bitcoin Cash, Ethereum, Ethereum Classic, Litecoin, Dash, Zcash, Ripple. Ils envisagent de rajouter le Bitcoin Gold, Monero et le Dogecoin.
Enfin, il y a une proposition de souscrire à "blockvault", un service premium (facturée $30 par an) permettant de faire une copie "hors ligne" du device. Il y a peu de détails sur cette option, mais si c'est pour pouvoir copier sa clé privée (la fameuse passphrase de 24 mots) chez Kapersky, c'est une très mauvaise idée d'un point de vue sécurité. La meilleure (seule) manière de sécuriser ce sésame étant de le mettre par écrit dans un coffre ou d'utiliser des moyens exotiques comme de la stéganographie. Surtout pas de le confier à un tiers numérique !
Mon avis
Comme Archos, Kapersky utilise sa marque pour vendre un nouveau produit et surfer sur le buzz des crypto-monnaies : Ils annoncent qu'ils proposent le premier device créé par des professionels en cybersecurité alors que les équipes de Ledger ou Trezor étant exclusivement sur ce sujet depuis plusieurs années, je les considère comme des professionels aussi.
Kapersky labs a fait l'objet de nombreuses polémiques ces derniers mois, avec des accusations d'espionnage pour le compte du gouvernement Russe. Leurs produits ont été interdits par décret au sein du gouvernement US, et, même s'ils ont de très bon ingénieurs, cette société a perdu la confiance de nombreux utilisateurs.
Leur proposition de 'BlockVault' me semble dangereuse et ne semble pas aller dans le sens de la sécurité.
Après de longues années de calme, des failles de sécurité visant Ledger ont fait la une des journeaux ces dernières semaines, mais l'équipe a une excellente communication, très transparente et ont publié un fix très rapidement. Ils ont aussi une politique de bug bounty très agressive.
Tout ceci représente donc un important gage de confiance pour le Ledger et il est clair que celui ci reste actuellement est encore le meilleur choix pour protéger vos Cryptos. Rien ne justifie à ce stade de se pré-commander un Kapersky.
Merci pour cet analyse.
J'ai un Ledger est j'en suis assez content. Et avec le recul, c'est un produit fiable.
Merci pour l'article ! C'était très intéressant !
Depuis la publication de cet article, le Journal du Coin a publié un article pour prévenir les utilisateurs de Trezor qu'ils ont aussi le droit à une mise à jour du firmware de leur device qui corrige (entre autres) l'exploit de Saleem Rashid.