Cryptos et confidentialité : le scandale Ledger Recover décortiqué
Ces deux dernières semaines, la firme Ledger, spécialisée en sécurité crypto, s’est retrouvée au cœur d’une grosse polémique. Celle-ci concernait particulièrement le nouveau produit Ledger Recover. Il s’agit d’une mise à jour facultative, présentée comme utile pour la récupération des clés de portefeuille perdues. Une évolution technique mal accueillie par les utilisateurs de Ledger. Ces derniers soupçonnent l’entreprise de vouloir violer leur droit le plus élémentaire en une vie privée.
Les origines de la controverse Ledger Recover
Tout commence le mardi 16 mai. Ce jour-là, Charles Guillemet, le directeur technique de Ledger, poste une actu sur son fil Twitter. Dedans, il livre les tenants et les aboutissants de Ledger Recover, le nouveau produit mis en œuvre par la compagnie. Et le concept qui entoure l’accès à ce service optionnel, mais facturé (10 $ par mois), est relativement simple.
En effet, Ledger voulait permettre à ses utilisateurs, de récupérer les clefs de leurs portefeuilles Ledger en cas de perte. Dans un contexte où une telle option n’est tout simplement pas disponible, l’initiative est pour le moins ambitieuse. Sauf que la concrétisation de ce concept exige un processus de vérification d’identité Know Your Costumer (KYC).
Cette procédure de vérification a ceci de particulier qu’elle fait intervenir de tierces sociétés, en l’occurrence Tessi et FIDO Alliance. Ces dernières sont ainsi chargées chacune en ce qui la concerne de mener à bien l’identification KYC. Démarche qui, soit dit en passant, inclut l’accès à la reconnaissance faciale et à la carte d’identité nationale des utilisateurs.
Par ailleurs, deux autres sociétés, à savoir Coincover et EscrowTech, en plus de Ledger elle-même, interviennent dans la démarche. Chacune va disposer d’un bout de la clef de portefeuille dont la récupération potentiellement sollicitée. Ceci, à travers trois canaux chiffrés de bout en bout, rendant ainsi l’opération indépendante. Chose inattendue néanmoins, l’annonce du projet par Guillemet a eu l’effet d’une bombe. Les utilisateurs n’ont pas manqué d’exprimer des critiques et leurs préoccupations face à une initiative jugée risquée à bien des égards.
Les critiques virulentes des utilisateurs de Ledger
Les utilisateurs ont tôt fait de critiquer la mise à jour optionnelle pour l’opérationnalisation de Ledger Recover. Ils ont notamment soulevé des inquiétudes concernant la confidentialité des données utilisateurs. Des préoccupations fondées, d’autant que les dispositifs sécuritaires de la plateforme rassurent peu.
En 2020, par exemple, ceux-ci ont été la cible d’un hacking. Une attaque à la suite de laquelle les données personnelles de milliers d’utilisateurs se sont retrouvées sur la toile. Ce qui souligne les failles de Ledger en matière de confidentialité. C’est d’ailleurs là, la seconde préoccupation majeure des utilisateurs qui a suscité tant de résistances.
En effet, nombreux sont ceux qui redoutent que des pirates informatiques réussissent à s’emparer d’informations censées être confidentielles. Sans compter qu’une entente secrète, préjudiciable aux intérêts des utilisateurs, n’est pas à exclure. Dans bien des cas, ceux-ci passent au second plan face à des enjeux importants comme c’est le cas en l’espèce. Ces inquiétudes techniques en soulèvent une autre, juridique cette fois : de la transmissibilité des données des utilisateurs aux autorités.
Quid de la transmissibilité des données des utilisateurs aux autorités ?
C’est l’une des critiques les plus virulentes adressées à l’encontre de Ledger Recover. La remarque est si pertinente qu’elle a obligé les dirigeants de la firme à répondre. C’est notamment ce qu’a fait, quelques jours plus tard, le lundi 22 mai, le patron de Ledger.
Dans un podcast, Pascal Gauthier, le PDG de Ledger, s’est exprimé sur la polémique Ledger Recover. Avec surtout des nouvelles peu rassurantes pour les souscripteurs à ce service. Selon le responsable, les informations concernant les clefs de portefeuilles de ces derniers pourraient bien être partagées avec les autorités.
Toutefois, précise-t-il, cette éventualité ne serait envisageable qu’en cas de procédure judiciaire impliquant une citation à comparaître. Dans le cas de situations jugées graves, comme les crimes liés au terrorisme, la compagnie livrerait donc ce qu’elle sait.
A priori, souligne Paul Gauthier, cette possibilité ne pourrait pas concerner tous les utilisateurs. « Ce n’est pas vrai que la personne moyenne est citée à comparaître tous les jours », a-t-il déclaré.
Ledger rassure ses utilisateurs
Comme pour nuancer son propos, le responsable a rappelé ce qu’une souscription à Ledger Recover implique pour un utilisateur. « Ce que vous créez, si vous optez pour Ledger Recover, c’est une sauvegarde cryptée et divisée en morceaux. Ces fragments sont totalement inutiles, à moins que l’utilisateur ne restaure la sauvegarde sur un dispositif Ledger, et uniquement sur un dispositif Ledger, où plusieurs parties sont nécessaires pour le décryptage. Si vous ne voulez pas utiliser Ledger Recover, rien ne change pour vous », a expliqué le patron de Ledger.
Peut-être les utilisateurs s’inquiètent-ils pour rien ? Le tweeto 0xFoobar ne voit pas la chose ainsi. Pour lui, cette mise à jour de Ledger est purement une violation flagrante de la vie privée des utilisateurs.
Alors que plusieurs utilisateurs comme 0xFoobar voient cette nouveauté d’un mauvais œil, Ledger se veut rassurante. Pascal Gauthier a saisi l’occasion pour s’excuser de la « mauvaise communication » de l’entreprise.
Par ailleurs, le dirigeant a fait une annonce. Sa firme s’engage à rendre accessible au public, une plus grande partie de sa base de code. L’initiative vise à améliorer la transparence de Ledger et l’implication des utilisateurs. Elle concerne, entre autres, les composants de base du système d’exploitation de Ledger Recover.
En outre, Charles Guillemet, directeur technique de Ledger, a précisé qu’un livre blanc sur le protocole Recover serait prochainement publié. Parallèlement, des articles de blogs techniques sont également prévus pour « expliquer les principes de fonctionnement de Recover ». La grande question reste de savoir si toutes les initiatives prévues pour rectifier le tir porteront leurs fruits. En tout état de cause, la question de la confidentialité et de la préservation des données personnelles constitue un enjeu majeur. C’est d’ailleurs l’une des raisons pour lesquelles la blockchain se propose en alternative pertinente.
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Diplômé de Sciences Po Toulouse et titulaire d'une certification consultant blockchain délivrée par Alyra, j'ai rejoint l'aventure Cointribune en 2019. Convaincu du potentiel de la blockchain pour transformer de nombreux secteurs de l'économie, j'ai pris l'engagement de sensibiliser et d'informer le grand public sur cet écosystème en constante évolution. Mon objectif est de permettre à chacun de mieux comprendre la blockchain et de saisir les opportunités qu'elle offre. Je m'efforce chaque jour de fournir une analyse objective de l'actualité, de décrypter les tendances du marché, de relayer les dernières innovations technologiques et de mettre en perspective les enjeux économiques et sociétaux de cette révolution en marche.
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.