Mettez à jour votre CoolWallet pour éviter une vulnérabilité Bluetooth potentielle

Contenu

• Ce qui s'est passé?
• Comment cette vulnérabilité peut-elle être exploitée ?
• Ce que vous devriez faire ensuite
• Comment mettre à jour votre CoolWallet et votre application (RECOMMANDÉ)
• Pourquoi est-ce nécessaire ?
• Comment cette vulnérabilité Bluetooth peut-elle potentiellement être exploitée ?
• Y a-t-il d'autres cas d'utilisation et fonctionnalités CoolWallet concernés à connaître ?
• Comment les utilisateurs de CoolWallet S peuvent-ils se protéger des mauvais acteurs ?
• Quelle est la prochaine étape ?

Ce qui s'est passé?

Conformément à notre politique de divulgation responsable, CoolBitX souhaite partager avec nos utilisateurs que nous avons découvert une vulnérabilité potentielle dans le protocole Bluetooth crypté utilisé par le CoolWallet S dans des conditions très spécifiques.

Nous venons de publier une nouvelle version de l'application CoolWallet et une mise à jour du firmware CoolWallet S qui corrigent le problème. Sans inquiétude, nous vous recommandons vivement d'installer ces deux mises à jour dès que possible afin de garantir une sécurité optimale sur vos appareils.

Comment cette vulnérabilité peut-elle être exploitée ?

Nous tenons à remercier KK8 de nous avoir alerté de ce problème, qui pourrait potentiellement être utilisé sur des CoolWallets non mis à niveau si ces 3 conditions très spécifiques sont remplies :

1. Si un utilisateur utilise les fonctions de création et de récupération de portefeuille de base via une version d'application obsolète.
2. Si un acteur malveillant se trouve physiquement à moins de 30 mètres de vous et de votre CoolWallet à ce moment-là.
3. Si le mauvais acteur a préparé un deuxième CoolWallet pour intercepter des informations privées.

Ce que vous devriez faire ensuite

Pour vous offrir la meilleure sécurité, nous vous recommandons fortement de mettre à jour votre application CoolWallet et le firmware CoolWallet S vers ces dernières versions :

• Application Cool Wallet : mise à jour vers la version 2.9.1
• Micrologiciel CoolWallet S : mise à jour vers la version 106

En attendant, nous vous invitons à suivre ces 2 méthodes recommandées pour rester 100 % résistant aux éventuels exploits comme celui décrit ci-dessus :

1. Utilisez uniquement votre carte Coolwallet S physique, et non l'application, pour générer un nouveau portefeuille et une graine de récupération.
2. Utilisez la procédure de récupération avancée par carte pour restaurer votre portefeuille si besoin.

Veuillez éviter de créer un portefeuille et d'utiliser les mesures de récupération de semences de base via notre application avant d'avoir effectué la mise à jour. Ces mesures sont de longue date.

Comment mettre à jour votre CoolWallet et votre application (RECOMMANDÉ)

Comme vous le savez probablement déjà, nous avons entièrement repensé la structure du protocole de sécurité début 2020. Malheureusement, cela a nécessité une réinitialisation délicate du portefeuille pour que la transition soit réussie.

Si vous n’avez pas encore effectué cette réinitialisation, voici ce qu’il faut faire.

Pour mettre à jour votre application vers la version 2.9.100 et le firmware vers la version 106, veuillez suivre les étapes ci-dessous pour effectuer cette mise à jour spécifique du firmware :

1. Assurez-vous d'avoir sauvegardé votre graine de récupération (il doit s'agir de 12 à 24 séries de chiffres écrites sur une carte papier fournie avec votre CoolWallet S. NE continuez PAS sans cette graine de récupération !
2. Supprimez (désinstallez) l'application CoolBitX Crypto sur votre téléphone
3. Accédez à la page des paramètres Bluetooth sur votre téléphone et supprimez l'appareil CoolWallet S (CWSXXXXXX).
4. Réinstallez la dernière application CoolBitX Crypto depuis l'App Store.
5. Ouvrez l'application, sélectionnez le numéro de série CoolWallet S correspondant et cliquez sur Réinitialiser.
6. Une fois la réinitialisation terminée, sélectionnez le numéro de série CoolWallet S correspondant et cliquez sur Connecter.
7. Sélectionnez Récupérer et entrez vos graines sauvegardées pour récupérer les données de votre portefeuille.
8. Mettez à nouveau à jour le firmware.
9. Vous êtes à jour !
10. *Veuillez charger le portefeuille pendant la mise à jour du firmware. Pour toute assistance supplémentaire, n'hésitez pas à nous contacter !

Cependant, si les utilisateurs ont déjà mis à jour leur firmware vers la version 105, une réinitialisation n'est pas nécessaire. Cette fois, il leur suffit de mettre à jour le firmware et l'application.

Pourquoi est-ce nécessaire ?

Avec la montée en flèche du prix du Bitcoin, de plus en plus de mauvais acteurs sont attirés par l'industrie de la cryptographie, ciblant à la fois les portefeuilles privés et de garde (tels que ceux des bourses) avec des logiciels malveillants de phishing et des attaques plus sophistiquées.

Le CoolWallet S a été conçu pour offrir une sécurité et une commodité optimales. Grâce à sa mobilité et sa simplicité d'utilisation, il s'adapte à presque tous les environnements.

Il est donc très important d’installer toujours les dernières mises à jour et de prendre en compte votre environnement physique immédiat lorsque vous interagissez avec des données sensibles, comme vous le feriez avec votre téléphone ou d’autres appareils en ligne.

Si vous suivez ces directives simples, un portefeuille matériel doté de fonctionnalités de stockage à froid sophistiquées comme le CoolWallet S reste votre meilleur choix en matière de sécurité !

Veuillez lire la suite pour en savoir plus sur cette vulnérabilité et sur la meilleure façon de sécuriser vos fonds cryptographiques à long terme.

Comment cette vulnérabilité Bluetooth peut-elle potentiellement être exploitée ?

Bluetooth est, par nature, un protocole de communication qui diffuse des informations vers d'autres appareils électroniques. Cela signifie que, dans des circonstances très spécifiques, des individus malveillants se trouvant à proximité peuvent potentiellement récupérer les données de création de portefeuille via d'autres appareils Bluetooth lorsque les données sont transférées via Bluetooth.

Bien que les données du CoolWallet soient protégées par un cryptage AES-256 de niveau militaire qui empêche leur exposition à d'autres appareils et maintient les données essentielles hors ligne à tout moment, il est possible dans des conditions très spécifiques d'envoyer les données cryptées à un autre CoolWallet préparé dans un rayon de 30 mètres et d'exécuter à nouveau la même commande avec la même charge utile.

En conséquence, la vulnérabilité permet à l'acteur malveillant à proximité de réexécuter les commandes avec les mêmes charges utiles sur le deuxième CoolWallet avec les données récupérées du protocole Bluetooth du premier CoolWallet lors du transport des données.

Cela permet à l'attaquant de rejouer le processus de récupération de portefeuille de base et la création d'un nouveau portefeuille via l'application mobile, car la charge utile contient la clé privée générée avec les phrases de départ par l'application.

Encore une fois, il est important de noter que le pirate doit se trouver physiquement à moins de 30 mètres (la portée maximale du Bluetooth Low Energy) de vous et de votre CoolWallet, et que la charge utile est UNIQUEMENT révélée à un autre CoolWallet préparé pendant notre processus de création ou de récupération de portefeuille de base, qui ne prend normalement que quelques minutes.

Y a-t-il d'autres cas d'utilisation et fonctionnalités CoolWallet concernés à connaître ?

Nous pouvons répondre à cette question par un « Non » clair et net.
Une fois le processus de création du portefeuille terminé, la clé privée sera stockée de manière immuable dans le CoolWallet S, sans aucune interface permettant de la récupérer. Autrement dit, votre clé privée ne quittera plus jamais votre CoolWallet.

Outre la création du portefeuille et le processus de récupération de base, l'attaquant ne pourra pas rejouer les mêmes commandes avec les mêmes charges utiles, ce qui signifie que les pirates ne recevront pas le même résultat avec un CoolWallet supplémentaire.

Et bien sûr, notre nouvelle mise à jour résoudra définitivement ce problème potentiel.

Comment les utilisateurs de CoolWallet S peuvent-ils se protéger des mauvais acteurs ?

En tant que premier portefeuille matériel compatible Bluetooth (2016), nous sommes les plus expérimentés et les plus compétents en matière de sécurisation du protocole Bluetooth pour les utilisateurs de portefeuilles. Nous avons cependant besoin de votre aide pour assurer une protection de bout en bout.

La solution est très simple : suivez simplement ces cinq précautions de sécurité recommandées :

1) Environnement de confiance

Assurez-vous de vous trouver dans un environnement sûr et privé lors de l'installation de votre CoolWallet, par exemple à votre domicile ou à l'écart des autres. Le CoolWallet S se glisse discrètement dans votre portefeuille et ne peut être utilisé sans la présence de votre téléphone à proximité, ni sans contourner ses protocoles de sécurité biométriques.

2) Gardez-le hors ligne et sur papier

Nous vous recommandons vivement de toujours configurer ou restaurer votre portefeuille via la carte CoolWallet S, et non via notre application. Certes, cela prend quelques minutes de plus, mais le gain de sécurité est largement supérieur aux inconvénients.

3) Maintenez l'application à jour

Veuillez vous assurer de toujours mettre à jour notre dernière version d'application peu de temps après avoir reçu une notification de publication.

4) Mises à jour de la boutique officielle uniquement

Effectuez uniquement la mise à jour à partir des magasins officiels iOS et Google Play pour éviter tout phishing éventuel, qui a affecté d'autres fournisseurs de portefeuilles.

5) Fonctionnalités avancées, sécurité avancée

Nous le répétons : pour une sécurité optimale, effectuez la récupération de votre portefeuille en utilisant la méthode « Récupération avancée » et « Créer un nouveau portefeuille » avec les phrases clés générées par la carte physique CoolWallet S afin de garantir une sécurité et une expérience utilisateur optimales. Ces deux méthodes peuvent complètement (oui, à 100 % !) neutraliser la vulnérabilité mentionnée ci-dessus.

Quelle est la prochaine étape ?

Nous publierons une mise à jour de notre application CoolWallet dans les prochains jours afin de corriger cette faille de sécurité potentielle. Nous remercions la communauté CoolWallet pour son soutien et n'hésitez pas à nous contacter si vous avez d'autres questions.

Cependant, avec la valeur des cryptomonnaies comme le Bitcoin atteignant des sommets, les portefeuilles matériels comme le CoolWallet S continueront d'être la cible d'acteurs, bons comme mauvais, qui remettent en cause nos protocoles de sécurité. C'est normal pour le secteur des cryptomonnaies et cela nous permet de réagir, de tester et d'améliorer continuellement notre produit.

Réflexions finales

La sécurité des fonds de nos utilisateurs CoolWallet S est notre priorité absolue. Un dispositif de stockage à froid doté d'un élément sécurisé (SE) et de mesures de sécurité biométriques supplémentaires, comme celui du CoolWallet, constitue toujours la solution la plus sûre pour garantir la sécurité à long terme de vos fonds.

Restez en sécurité et informé !

Lectures complémentaires :

• Sauvegardez-le : Comment vérifier si votre graine de récupération est correcte (Guide)
• 10 conseils pour protéger la clé privée et la phrase de départ de votre portefeuille Bitcoin
• Guide du débutant