Trezor affirme que la faille du chip Safe 7 découverte par Ledger ne représente aucun risque pour les fonds des utilisateurs

Trezor et Tropic Square ont révélé une vulnérabilité affectant la puce TROPIC01, identifiée lors d'un audit mené par Ledger Donjon, tout en soulignant que le portefeuille Safe 7 reste protégé et que les fonds des utilisateurs ne sont pas en danger.

Trezor et Tropic Square ont divulgué une vulnérabilité affectant l'une des trois couches de sécurité indépendantes du portefeuille matériel Trezor Safe 7, tout en précisant que ce problème n'expose pas les actifs des utilisateurs à un risque.

Selon une déclaration fournie par Trezor, la vulnérabilité a été découverte lors d'une revue de la sécurité indépendante menée par Ledger Donjon, la division de recherche du fournisseur concurrent de portefeuilles matériels Ledger.

Tropic Square a fourni la puce Secure Element TROPIC01 concernée à Ledger Donjon pour une évaluation indépendante. Trezor a déclaré que même si le TROPIC01 était compromis, l'accès au portefeuille, au code PIN ou aux fonds d'un utilisateur resterait improbable, car le portefeuille Safe 7 est protégé par plusieurs mécanismes de sécurité indépendants, dont un élément sécurisé supplémentaire.

Cette divulgation offre un aperçu rare de la façon dont les fabricants de portefeuilles matériels réagissent aux failles de sécurité au niveau des puces, et souligne le rôle croissant joué par les chercheurs indépendants dans l'évaluation et les tests de résistance du matériel de conservation de cryptomonnaies.

Faille de sécurité découverte lors d'un processus de test indépendant

Selon Trezor, la vulnérabilité a été identifiée lors d'une évaluation de sécurité indépendante lancée par Tropic Square à la suite de la sortie de son élément sécurisé TROPIC01 début 2025.

En janvier 2026, Ledger Donjon a notifié Tropic Square qu'une attaque par injection de fautes laser avait été exécutée avec succès contre la puce, permettant aux chercheurs de récupérer certains secrets stockés sur l'appareil et de contourner la vérification de la signature du firmware dans un environnement de laboratoire contrôlé.

Après examen des résultats de Ledger Donjon, les ingénieurs de Tropic Square ont découvert un autre vecteur d'exploitation potentiel pouvant révéler un secret supplémentaire stocké sur la puce et lié aux opérations liées au code PIN.

La société a informé ses partenaires, dont Trezor, et a choisi de divulguer publiquement la vulnérabilité conjointement avec les résultats de recherche produits par Ledger Donjon.

Trezor indique qu'aucune action n'est requise de la part des utilisateurs

Trezor a indiqué que les utilisateurs n'ont aucune action à entreprendre suite à cette divulgation, précisant que les fonds stockés sur l'appareil restent sécurisés, car la seule compromission de la puce TROPIC01 est insuffisante pour accéder à un portefeuille, à un code PIN ou aux actifs de l'utilisateur.

Étant donné que la faille est ancrée dans le matériel lui-même, elle ne peut pas être corrigée via une mise à jour du firmware à distance.

« Parce que le Trezor Safe 7 a été conçu avec plusieurs couches de sécurité indépendantes, une vulnérabilité dans TROPIC01 ne met pas les fonds des utilisateurs en danger », a déclaré Matej Žák, PDG de Trezor.

Trezor a noté que Ledger Donjon a précédemment publié des analyses de sécurité indépendantes de ses produits, notamment une étude sur le Trezor Safe 3 qui présentait une attaque impliquant une interception physique de la chaîne d'approvisionnement, le déssoudage de l'appareil et une modification matérielle avant que le portefeuille n'atteigne les utilisateurs finaux.

La société a publié une réponse publique à l'époque et a depuis continué à renforcer les protections contre des méthodes d'attaque similaires, ajoutant qu'aucun cas impliquant des fonds d'utilisateurs compromis n'a été identifié.

Trezor a été contacté pour obtenir des détails concernant les audits des deux autres puces utilisées dans le Safe 7, ainsi que les composants présents dans les versions antérieures de l'appareil, mais aucune réponse n'avait été reçue au moment de la publication.