Trezor et le concepteur de puces Tropic Square ont divulgué une faille de sécurité dans le circuit intégré TROPIC01. La vulnérabilité a été découverte lors d'un audit de sécurité mené par Ledger Donjon, l'équipe de sécurité matérielle du fabricant de portefeuilles concurrent Ledger. Trezor affirme que son portefeuille Safe 7 et les fonds des utilisateurs ne sont pas en danger malgré ce problème.
La découverte de la vulnérabilité
L'audit de Ledger Donjon a identifié une faiblesse dans la puce TROPIC01, un composant utilisé dans certains portefeuilles matériels. Ni Trezor ni Tropic Square n'ont détaillé la nature exacte de la faille, mais la divulgation confirme son existence. L'audit faisait partie d'une revue de routine de la sécurité de la puce avant un déploiement plus large.
Ce que dit Trezor à propos du Safe 7
Trezor s'est empressé de rassurer les utilisateurs. L'entreprise a déclaré que le portefeuille Safe 7 — qui repose sur la puce TROPIC01 — reste sécurisé. Les fonds des utilisateurs ne sont pas exposés et aucune action n'est requise de la part des propriétaires. Trezor n'a pas précisé si une mise à jour du micrologiciel ou une autre mesure d'atténuation était prévue, seulement que la vulnérabilité n'affecte pas le fonctionnement actuel du portefeuille.
Le rôle de la puce et les prochaines étapes
TROPIC01 est une puce de sécurité open source développée par Tropic Square, une entreprise tchèque qui travaille en étroite collaboration avec Trezor. La puce est conçue pour fournir une racine de confiance matérielle vérifiable et transparente. Bien que la faille découverte n'ait pas d'impact sur le Safe 7, elle soulève des questions sur les futurs produits qui pourraient utiliser la puce. Tropic Square n'a pas annoncé de calendrier pour une correction ou une version révisée du TROPIC01.
Pour l'instant, Trezor et Tropic Square n'ont partagé que le strict minimum — une vulnérabilité existe, mais elle est contenue. Les utilisateurs peuvent continuer à utiliser leurs portefeuilles Safe 7 normalement. Les détails techniques complets de la faille restent confidentiels, probablement jusqu'à ce qu'un correctif ou une nouvelle révision de la puce soit prête.
