Test : Bitcoin « Vault » Trezor est à la hauteur de son nom

Bien que la plupart des utilisateurs de Bitcoin utilisent des portefeuilles web et mobiles gratuits, les récentes alertes de sécurité illustrent clairement la nécessité de trouver des alternatives plus sûres. Nous examinons ici de plus près un appareil conçu pour résoudre ce problème.

Le portefeuille matériel Trezor est destiné aux bitcoiners qui souhaitent conserver une réserve substantielle de pièces, mais ne veulent pas dépendre de services de stockage de Bitcoin tiers ou de formes peu pratiques de stockage à froid.

Développé par une startup tchèqueSatoshiLabs, l'appareil à 99 $ est essentiellement une clé USB conçue pour ajouter une couche d'authentification supplémentaire à toutes les transactions Bitcoin sortantes.

De par sa conception, Trezor peut être utilisé pour signer des transactions sur des ordinateurs « non sécurisés » et est imperméable aux enregistreurs de frappe et à de nombreux autres vecteurs d'attaque. Ainsi, même si votre ordinateur hôte est compromis, l'attaquant n'a aucun moyen d'obtenir votre clé privée.

C'est également de là que l'appareil tire son nom, « trezor » signifiant « coffre-fort » dans la plupart des langues slaves, dont le tchèque. Sorte de « coffre-fort » pour votre clé Bitcoin privée, Trezor affirme utiliser plusieurs astuces pour maintenir la sécurité même sur les machines compromises et dangereuses.

Ici, nous examinons de plus près ces dispositifs de sécurité un par un, de la configuration à la transaction.

SatoshiLabs TrezorTREZOR™ Gris99 $ACHETEZ MAINTENANT

Déballage et spécifications

L'appareil a à peu près la taille d'une clé USB moyenne, bien qu'un peu plus large, et est livré dans un très petit emballage.

La boîte comporte un autocollant holographique sur le dessus et un avertissement invitant les utilisateurs à Nous contacter le support s'ils soupçonnent que le colis a été ouvert.

L'autocollant semble cependant redondant, car il y a tellement de colle qui maintient la boîte ensemble qu'il est pratiquement impossible de l'ouvrir sans causer des dommages évidents au cours du processus.

La boîte comprend l'appareil Trezor, un câble USB vers micro-USB, un manuel d'installation et un (très) petit cordon.

Quant à l'appareil lui-même, nous avons reçu un échantillon blanc en plastique. Il existe également en gris et en noir.

Bien que la société ait développé et commercialisé des unités métalliques, elles ne sont plus proposées et les premiers lots ont été envoyés aux premiers contributeurs de Trezor plus tôt cette année.

L'appareil certifié CE et RoHS mesure 60 x 30 x 6 mm (2,4 x 1,2 x 0,2 pouces) et pèse 12 g (0,42 oz).

Bien qu'il ne soit pas certifié comme étant entièrement étanche, la société affirme que l'appareil est au moins résistant à l'eau.

En termes de matériel, Trezor est basé sur un processeur ARM Cortex M3 cadencé à 120 MHz. Il dispose d'un écran OLED de 128 x 64 pixels à la fois lisible et net.

Le deuxième composant de l'interface utilisateur se présente sous la forme de deux boutons matériels, utilisés pour effectuer un certain nombre d'actions nécessaires à la configuration de l'appareil et à la signature des transactions.

Un port micro-USB standard est situé en bas. Le port micro-USB est la seule communication de l'appareil avec le monde extérieur et la seule source d'alimentation, car il n'y a pas de batterie à bord.

En ce qui concerne la qualité de fabrication, les choses auraient pu être meilleures.

Le dessus et les bords de l'appareil semblent très robustes, mais ce n'est pas le cas du centre, entre les boutons et le port micro USB. Cette partie de l'appareil est BIT flexible et grince lorsqu'on appuie dessus.

Cependant, le plastique blanc a une finition mate anti-rayures et devrait pouvoir résister à de BIT abus.

La goupille du cordon en plastique est entourée d'arêtes vives et l'ouverture est mal formée, donc l'insertion d'un cordon peut être frustrante.

Cela peut sembler être un cas de pinaillage, alors soyons clairs : pour une clé USB, la qualité de fabrication et la conception sont excellentes, mais les consommateurs gâtés par des smartphones haut de gamme à toute épreuve peuvent trouver ces problèmes mineurs ennuyeux.

Installation de Trezor

L'installation de l'appareil est simple, mais elle demande un BIT de travail.

Il n’y a aucun moyen de contourner ce problème, car vous devez franchir un certain nombre d’obstacles puisque vous avez affaire à un appareil sécurisé.

Après avoir connecté l'appareil, la première étape consiste à se rendre surmonTREZORet téléchargez un plugin de navigateur. Le processus est automatisé, mais l'utilisateur doit autoriser l'installation du plugin.

Une fois le plugin activé, myTREZOR vous demandera de saisir un code PIN.

C'est là qu'intervient la protection contre les enregistreurs de frappe. Vous ne saisissez T réellement le code PIN, vous devez cliquer sur un pavé numérique masqué affiché dans le navigateur.

La position de chaque numéro change de manière aléatoire, donc chaque fois que vous entrez le code PIN, vous devrez vérifier la disposition sur votre appareil Trezor.

Un attaquant utilisant un simple keylogger, ou même un attaquant disposant d'un accès à distance complet au bureau, ne serait pas en mesure de déterminer les numéros, car ils ne sont affichés que sur l'appareil Trezor.

L'étape suivante consiste à écrire une graine de 24 mots générée aléatoirement. Cette graine vous permettra de reconstruire votre portefeuille Trezor en cas de perte de l'appareil.

Il s'agit de la seule sauvegarde qui peut être utilisée pour récupérer votre portefeuille en cas de perte ou de vol. Trezor utilise les normes BIP39 et BIP44 pour créer de nouveaux portefeuilles, de sorte que la graine générée peut être récupérée et utilisée par d'autres portefeuilles compatibles.

SatoshiLabs a confirmé que les utilisateurs peuvent utiliser Mycelium 2.0, Wallet32 ou Multibit HD pour charger la graine de récupération de Trezor sur leur ordinateur.

Techniquement, l'appareil n'utilise pas d'algorithmes aléatoires standard, car ils le rendraient vulnérable aux attaques par générateur aléatoire.

Au lieu de cela, il utilise des signatures déterministes et des sources d'entropie aléatoires externes, ce qui signifie qu'il utilise plusieurs sources différentes pour générer la graine « aléatoire ».

L’installation complète ne devrait pas prendre plus de 10 à 15 minutes.

Commodité et utilisation quotidienne

Le portefeuille Trezor tente de concilier deux extrêmes opposés.

D’ une part, cela ajoute une nouvelle couche de sécurité, mais en même temps, cela essaie de rendre l’expérience utilisateur aussi simple que possible.

L'appareil s'attaque admirablement au problème, car il ne reste pas beaucoup de travail après la configuration initiale.

L’utilisation de Trezor ne prend pas beaucoup de temps et une transaction peut être approuvée en quelques clics, avec une interaction minimale avec l’appareil.

Vous devez saisir le code PIN pour accéder au portefeuille et chaque transaction doit être approuvée sur l'appareil.

Bien que le portefeuille myTrezor par défaut offre un design élégant et fonctionne plutôt bien, il repose toujours sur un seul service.

Pour cette raison, les utilisateurs souhaitant éviter toute forme de centralisation peuvent opter pour l'un ou l'autre des portefeuilles tiers. L'appareil prend actuellement en charge les portefeuilles Multibit HD (bêta) et Electrum 2.0.

Vous n'avez T besoin de l'appareil pour recevoir des bitcoins, seulement pour en envoyer. Même dans ce cas, le processus est assez simple, mais Trezor n'est T conçu pour toutes vos transactions en Bitcoin .

Idéalement, il devrait être utilisé pour sécuriser un cache substantiel de bitcoins, en les transférant vers des plateformes de portefeuille mobile plus pratiques pour des transactions plus petites.

ONEun des problèmes potentiels de l’appareil est son manque de support mobile.

Pour le moment, l'appareil Trezor ne fonctionne qu'avec les systèmes d'exploitation de bureau tels que Windows, OS X et Linux. Vous ne pouvez donc pas l'appairer avec votre téléphone portable ou votre tablette, sauf si vous utilisez une tablette Windows 8.1.

Cependant, Satoshi Labs travaille sur l'activation de la fonctionnalité USB On-The-Go (OTG), ce qui permettrait son utilisation sur les appareils Android.

Ceci est prévu pour les versions futures et une bibliothèque open source pourLe support Android OTG est déjà disponible sur GitHub. Une autre mise à jour permettra la prise en charge de BIP70, le dernier protocole de paiement Bitcoin conçu pour offrir des fonctionnalités supplémentaires axées sur la sécurité.

Conclusions

Le portefeuille matériel Trezor fonctionne comme annoncé. Il offre un certain nombre d'avantages par rapport aux portefeuilles traditionnels et rend votre clé privée imperméable à de nombreuses formes d'attaque.

L’inconvénient est qu’il ne s’agit tout simplement pas d’un appareil nomade qui peut être utilisé pour effectuer des transactions quotidiennes.

Il s’agit plutôt d’un produit de niche destiné aux personnes souhaitant sécuriser leurs bitcoins et recharger leurs portefeuilles mobiles de temps à autre.

En d’autres termes, si vous ne disposez pas d’une réserve de Bitcoin à tout moment, Trezor (et d’autres portefeuilles matériels) ne sont tout simplement pas conçus Pour vous.

Le public cible est composé de passionnés de Crypto , d'accapareurs de BTC et de petites entreprises. Ce service porte bien son nom : il s'agit davantage d'un coffre-fort Crypto que d'un portefeuille.

Étant donné que Trezor n'a pas de batterie et dépend d'une alimentation externe, il pourrait fonctionner comme une solution mobile, à condition que la prise en charge d'Android soit implémentée.

Il est suffisamment compact pour être transporté sur un porte-clés et se connecter à un téléphone si nécessaire, nous nous attendons donc à ce que Satoshi Labs s'attaque bientôt au support OTG.

Le Trezor peut être achetédirectement de Satoshilabs pour 99 $.

SatoshiLabs TrezorTREZOR™ Gris99 $ACHETEZ MAINTENANT

Avis de non-responsabilité : Cet article ne constitue pas une recommandation des entreprises mentionnées. Veuillez effectuer vos propres recherches approfondies avant d’envisager d’investir dans ces produits.