- Le lancement du service de récupération de phrase de départ dans le cloud de Ledger, Ledger Recover, s’est mal retourné
- La société permet aux utilisateurs de s’abonner à un système dans lequel la phrase de départ du portefeuille est stockée à distance en cas de perte.
- Les problèmes de violation de données de Ledger et une incompréhension fondamentale de la communauté cryptographique ont conduit à un autre désastre de relations publiques.
Hier, le fabricant de portefeuilles matériels Ledger a réussi à contrarier à nouveau l’ensemble de l’espace cryptographique en lançant un service de récupération de sauvegarde de semences basé sur le cloud. La société française a passé des années à essayer de reconstruire sa réputation à la suite d’une série de violations de données extrêmement dommageables en 2020, et juste au moment où elle semblait avoir réussi à passer à autre chose, elle a sauvegardé la communauté cryptographique sur son service virtuel Ledger Recover, qui sauvegarde la graine du portefeuille et permet son stockage par des tiers sécurisés. Malgré toutes les protestations de Ledger concernant la sécurité du système, le concept d’une clé privée de portefeuille matériel sauvegardée et gérée par quelqu’un d’autre s’est déroulé aussi mal qu’on pouvait s’y attendre.
Les malheurs du grand livre ne sont pas oubliés
Ledger avait réussi à devenir le principal fabricant de portefeuilles matériels dans les années de boom de la cryptographie grâce à son appareil Ledger Nano extrêmement populaire, mais en 2020, il a souffert, nié et finalement admis à un catalogue des violations de données touchant plus d’un million de clients. Cela a entraîné une énorme réaction contre l’entreprise, qui l’a forcée à aller jusqu’à désactiver les réponses à ses tweets en raison des accusations persistantes de mauvaise gestion de la part de clients en colère.
La colère s’est finalement suffisamment apaisée pour que Ledger réactive à nouveau les réponses et, avec le lancement d’un nouveau produit, le Ledger Stax, la société semblait enfin être sur la voie de la guérison.
Entrez la récupération du grand livre. L' »abonnement facultatif » est destiné aux utilisateurs qui souhaitent une sauvegarde de leur phrase de récupération secrète, qui est gérée ainsi :
Ledger Recover crypte une version de votre clé privée et la divise en trois fragments (à l’aide du partage secret de Shamir) – tout cela se produit sur la puce Secure Element, de sorte que votre phrase de récupération secrète ne soit pas en danger. Ces fragments cryptés sont stockés par 3 parties différentes sur des modules de sécurité matériels cryptographiquement sécurisés.
Le but de cette mise à niveau est de faire en sorte que « vous ne soyez jamais bloqué hors de votre portefeuille », les abonnés payant des frais mensuels à Ledger pour que leurs clés soient divisées, cryptées et stockées avec des tiers au cas où ils perdraient leur propre ensemble. Le service est un module complémentaire facultatif auquel les utilisateurs existants peuvent s’abonner plutôt que d’être imposé à tous les utilisateurs, mais la réputation de Ledger, ainsi que le concept d’une phrase de départ détenue par un tiers, ont noyé les subtilités de Ledger Recover et ont conduit à un bain de sang :
Bien sûr, vous *pourriez* utiliser le nouveau service « Récupérer » de Ledger et leur donner vos clés privées contrôlant vos actifs ainsi qu’une copie de votre pièce d’identité et d’autres informations personnelles…
… mais pourquoi alors s’embêter avec un portefeuille matériel en premier lieu ? pic.twitter.com/ZI39B01gFV
– Alistair Milne (@alistairmilne) 16 mai 2023
– commercialiser et vendre un appareil qui protège les clés privées des personnes
– faire l’expérience de plusieurs violations de données qui divulguent des informations sur les clients
– offrir un service pour télécharger des clés privées d’un appareil sécurisé vers un service basé sur le cloud
????♂️https://t.co/df9VseSi7o
— hodlonaut 13%er ????⚡???? ???? (@hodlonaut) 16 mai 2023
Ledger Recover est la voie à suivre pour intégrer des millions d’utilisateurs.
Ils ont cependant commis une erreur fatale en ne comprenant pas leurs clients.
En tant que chef de produit dans Web2, voici mes réflexions ci-dessous. pic.twitter.com/aj3PUimVz4
– Nick Ford (@CryptoWithNick) 16 mai 2023
Le contrecoup est clairement survenu avant que quiconque ne se soit réellement assis pour lire les points les plus précis concernant Ledger Recover, l’un d’entre eux étant que le service est opt-in et que les utilisateurs réguliers peuvent simplement continuer à utiliser leurs appareils Ledger comme ils le sont actuellement. Le problème est que Ledger a simplement mal interprété la pièce; il a déjà la terrible réputation de protéger les données des clients, alors pourquoi les clients lui feraient-ils soudainement confiance (et à son sous-traitant pour Ledger Recover, Coincover) avec leur phrase de départ de toutes choses ?
Lire la pièce
Ledger a peut-être trouvé un moyen sûr de découper et d’exploiter la phrase de départ de votre portefeuille, mais ils ont fondamentalement mal compris deux choses : a) c’est le contraire de ce que les portefeuilles matériels ont été créés pour faire, et donc il allait toujours créer un contrecoup de cette ampleur, et b) si une entreprise va être celle qui brise cette barrière et amène les gens à leur faire confiance avec leurs données, ce n’est pas Ledger.
Ce qui a aggravé les choses pour Ledger, c’est qu’il a été, encore une fois, accusé de cacher des tweets d’opposition, laissant le fil décrivant Ledger Recover comme un endroit beaucoup plus harmonieux qu’il ne l’était en réalité :
Cacher à nouveau les réponses des gens ? pic.twitter.com/LVFNAmFyWK
– ZachXBT (@zachxbt) 16 mai 2023
Ledger a tenté d’éteindre le feu en exécutant une AMA avec son co-fondateur et son personnel technique pour répondre aux questions, ce qui a contribué à apaiser ceux qui s’inquiétaient des ramifications de sécurité de Ledger Recover, mais cela n’a pas suffi à influencer le opinions dominantes des masses crypto.
Ledger Recover peut s’avérer populaire avec le temps, mais la société n’a encore une fois pas lu la pièce et a annulé une grande partie du travail qu’elle a fait pour se remettre de la débâcle de la violation de données.
Il est temps de bloquer à nouveau les réponses ?
Source https://fullycrypto.com/ledger-recover-announcement-backfires?utm_source=rss&utm_medium=rss&utm_campaign=ledger-recover-announcement-backfires
