Les 72 heures ont été brutales pour Ledger depuis le lancement de son service Recover.
« Éric Larchevêque, cofondateur de Ledger, a déclaré sur le subreddit CryptoCurrency : « Quel horrible gâchis !
« Je suis dévasté de venir sur ce subreddit, que j’ai créé il y a neuf ans, et de voir des images d’appareils Ledger en train de brûler, des insultes et beaucoup de colère. Honnêtement, je suis au bord des larmes », a-t-il déclaré.
Ledger Recover est un service d’abonnement facultatif qui coûte 9,99 dollars par mois.
Après l’inscription, votre phrase de récupération est divisée en trois fragments cryptés, puis confiée à des dépositaires – Ledger, Coincover et un troisième fournisseur. Lorsque vous souhaitez récupérer votre phrase de base, vous devez prouver votre identité à l’aide de votre passeport ou de votre carte d’identité nationale.
Les utilisateurs s’inquiètent de devoir faire confiance à trois figures centralisées, des risques d’usurpation d’identité, ainsi que de la possibilité que leur seed phrase puisse être retirée de leur hardware wallet, même s’ils n’ont pas choisi de le faire, grâce à une prétendue « backdoor » (porte dérobée).
« Brûlez-les tous », a déclaré un utilisateur de Twitter, en brisant son Ledger à l’aide d’un marteau avant de s’en servir comme d’un chalumeau.
Brûlez-le jusqu’au sol. Brûlez-les tous. Ledger pic.twitter.com/6syU5QVToV
– Jester Novares (@JesterNovares) 17 mai 2023
« Félicitations Ledger, tu as détruit ta réputation ! » s’est exclamé un utilisateur de Reddit. D’autres utilisateurs de Reddit ont commencé à qualifier les portefeuilles Ledger de presse-papiers en raison du nouveau service.
« J’ai tellement donné à cette entreprise qu’il m’est impossible de ne pas être très ému en ce moment », a déclaré M. Larchevêque. « Tant de colère, tant de haine, mais aussi tant de folie ».
Après avoir cofondé Ledger en 2014, Larchevêque en a été le PDG jusqu’en 2019. Actuellement, il n’est qu’un actionnaire de l’entreprise, il n’occupe pas de fonction exécutive. Par conséquent, les opinions exprimées dans son post sont ses opinions personnelles et ne sont pas représentatives de la position officielle de Ledger sur le sujet.
« Pour moi, toute cette débâcle est un échec total en termes de relations publiques, mais absolument pas sur le plan technique », a expliqué M. Larchevêque. « Essayer d’expliquer le modèle de sécurité à des clients de moins en moins informés est devenu de plus en plus difficile. «
Aussi longtemps que vous ferez confiance à Ledger
Le cofondateur de la société de portefeuilles matériels a relaté la croissance de Ledger et la manière dont l’éducation a été au cœur de la mission du projet depuis sa création.
Il a rappelé un ancien tweet expliquant qu' »une mise à jour du micrologiciel ne peut pas extraire la graine de l’élément sécurisé », précisant que le tweet aurait dû inclure « tant que vous faites confiance à Ledger ».
Hi – vos clés privées ne quittent jamais la puce Secure Element, qui n’a jamais été piratée. Le Secure Element est certifié par une tierce partie et il s’agit de la même technologie que celle utilisée dans les passeports et les cartes de crédit. Une mise à jour du micrologiciel ne peut pas extraire les clés privées du Secure Element.
– Ledger (@Ledger) Le 15 novembre 2022
Ce tweet a conduit les utilisateurs à croire que Ledger est une solution sans confiance. Ce n’est pas le cas », explique le Larchevêque. « Il faut accorder une certaine confiance à Ledger pour pouvoir utiliser leur produit.
« Lorsque Recover a été brusquement lancé, ce faux sentiment d’absence de confiance s’est effondré et les gens ont commencé à comprendre le fonctionnement d’un [hardware wallet]. Au moins, c’est une note positive », a-t-il déclaré. « L’erreur que j’ai commise en tant que PDG pendant mon mandat a probablement été de ne pas expliquer avec suffisamment d’acharnement le modèle de sécurité.
Selon M. Larchevêque, l’indignation a deux facettes.
L’une vient des personnes qui ont été mal informées sur le modèle de sécurité de Ledger et il comprend leur douleur.
Cependant, il constate également qu’un groupe de personnes a pris le « train de la haine » en propageant des théories de conspiration à propos d’une porte dérobée.
« Vous ne comprenez pas ce que vous dites », a-t-il déclaré dans son message sur Reddit.
Un porte-parole de Ledger a confirmé à TCN que pour que votre seed phrase soit extraite dans le processus Ledger Recover, vous devez signer une transaction. Dans le cas contraire, Ledger ne peut pas accéder à votre seed phrase.
« Ledger est toujours sûr, il n’y a pas de porte dérobée, le Ledger Recover n’est pas une conspiration, personne ne forcera jamais personne à utiliser Recover », a déclaré Larchevêque. « Le code Recover dans le firmware n’est pas un code malveillant et ne permet pas d’extraire arbitrairement la graine.
