Trezor et le fabricant de puces Tropic Square ont révélé une vulnérabilité dans l'élément sécurisé TROPIC01 utilisé dans le portefeuille matériel Trezor Safe 7, après que l'équipe de sécurité Donjon de Ledger a mené une attaque par injection de faute laser en conditions de laboratoire. Les entreprises affirment que la faille ne met pas les fonds des utilisateurs en danger, car le Safe 7 repose sur trois couches de sécurité indépendantes, et compromettre TROPIC01 seul ne suffit pas pour accéder à un portefeuille, à un code PIN ou à des clés privées.
Ledger Donjon a informé Tropic Square en janvier 2026 qu'elle était parvenue à contourner certaines protections de la puce et à extraire des secrets stockés dans le composant, ainsi qu'à contourner la vérification de signature du firmware. Après avoir examiné ces conclusions, les ingénieurs de Tropic Square ont identifié une méthode supplémentaire pouvant exposer un autre secret lié aux fonctions de la puce relatives au code PIN. Les entreprises ont opté pour une divulgation publique le 3 juin.
« Parce que le Trezor Safe 7 a été conçu avec plusieurs couches de sécurité indépendantes, une vulnérabilité dans TROPIC01 ne met pas les fonds des utilisateurs en danger », a déclaré Matej Žák, directeur général de Trezor.
Le Safe 7, lancé en octobre 2025, combine TROPIC01 avec deux autres puces — OPTIGA Trust M et STM32U5 — pour gérer la vérification du code PIN, l'authenticité de l'appareil et la création de portefeuille. La faille existe au niveau matériel et ne peut pas être corrigée par une mise à jour du firmware à distance. Un attaquant aurait besoin de la possession physique d'un appareil, d'équipements de laboratoire spécialisés et d'une expertise technique avancée pour tenter l'exploitation, et il n'existe aucune preuve que la vulnérabilité ait été utilisée dans le cadre d'une attaque réelle.
Cette divulgation marque une rare collaboration publique entre deux des plus grands rivaux de l'industrie des portefeuilles matériels. Ledger Donjon a précédemment publié des recherches indépendantes sur les appareils Trezor, notamment un rapport sur le Trezor Safe 3 qui démontrait une attaque d'interception physique de type supply-chain. Trezor avait répondu à l'époque en affirmant qu'aucun fonds d'utilisateur n'avait été compromis.
Tropic Square commercialise le TROPIC01 comme un élément sécurisé ouvert et auditables, permettant aux chercheurs d'inspecter du matériel qui resterait habituellement fermé sous des accords de non-divulgation. Cette découverte montre que les tests ouverts peuvent révéler des faiblesses avant que des acteurs malveillants ne le fassent, tout en soulignant que la sécurité des portefeuilles matériels dépend de la conception complète de l'appareil plutôt que d'un seul composant. Trezor a déclaré que les utilisateurs n'ont besoin de prendre aucune mesure et doivent continuer à acheter des appareils auprès de canaux officiels, à maintenir le firmware à jour et à protéger les phrases de récupération hors ligne.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
