La mise à jour du micrologiciel de Ledger suscite une controverse

Le lancement de Ledger Recover, un nouveau service qui permet aux utilisateurs de portefeuilles matériels Ledger de sauvegarder leurs phrases de récupération secrètes, a rencontré une vive opposition de la part de la communauté des crypto-monnaies.
Le cofondateur et ancien PDG de Ledger, Éric Larchevêque, a qualifié les critiques de l'entreprise d'« échec complet en matière de relations publiques, mais pas technique ».
Ledger Recover est une mise à jour du micrologiciel en direct qui permet aux utilisateurs de stocker des phrases de départ auprès de tiers.
Si un utilisateur opte pour le nouveau service, les fragments de la phrase de récupération sont cryptés et stockés par trois parties afin que l'utilisateur puisse récupérer la phrase à l'avenir.
Cependant, la phrase de départ laissée sur le portefeuille matériel n'a pas trouvé de résonance auprès des utilisateurs qui considéraient Ledger comme un service de stockage de crypto-monnaie peu fiable.
Larchevêque a précisé sur Reddit que Ledger n'a jamais été une solution sans confiance en réponse aux préoccupations croissantes des utilisateurs du monde entier :
« Une certaine confiance doit être accordée à Ledger pour utiliser son produit. Si vous ne faites pas confiance à Ledger, c’est-à-dire que vous traitez votre fabricant de matériel informatique comme un adversaire, cela ne peut pas fonctionner du tout.
Il a fait valoir que la mise à jour de Ledger Recover n'affecte pas le modèle de sécurité du portefeuille matériel, ajoutant :
« Mon erreur en tant que PDG pendant mon mandat a probablement été de ne pas être assez acharné à expliquer le modèle de sécurité, mais à un moment donné, vous abandonnez simplement car les gens ne s'en soucient pas du tout. Jusqu’à ce qu’ils s’en soucient à nouveau, comme maintenant.
Larchevêque pense que la seule chose qui a changé est le point de vue de l'utilisateur général sur le manque de confiance, et le code de récupération dans le micrologiciel n'était pas malveillant :
"Ledger est toujours sûr, il n'y a pas de porte dérobée, Ledger Recover n'est pas un complot, personne ne forcera jamais quiconque à utiliser Recover."
Il a ajouté que faire confiance à Ledger pour partager la phrase de départ équivaut à lui faire confiance pour signer une transaction.
En réponse à la suggestion d’un utilisateur d’avoir deux firmwares distincts pour éliminer les soucis de « porte dérobée », Larchevêque a déclaré que « cela ne changerait rien » et le rendrait triste.
La mise à jour du micrologiciel susmentionnée n'est pas disponible pour le Nano S, le portefeuille matériel le plus abordable de Ledger, car le chipset ne dispose pas de suffisamment de mémoire pour stocker le nouveau micrologiciel.
En réponse à la publication de la mise à jour controversée du micrologiciel de Ledger, GridPlus, un fournisseur de portefeuille matériel concurrent, a décidé de rendre son micrologiciel open source pour ses clients.
Utilisant la controverse Ledger comme opportunité marketing, GridPlus a annoncé son intention de publier le micrologiciel de son appareil en open source au troisième trimestre 2023 afin d'accroître la transparence.