Mise à jour de la vulnérabilité de CoolWallet S

Ce rapport présente un aperçu de l'optimisation de l'application CoolBitX Crypto grâce aux conseils de Kraken. Nous remercions l'équipe Kraken d'avoir évalué la sécurité du CoolWallet S et de nous avoir signalé ces problèmes dans le cadre de leur processus de divulgation éthique.

Toutes les optimisations décrites ci-dessous ont été déployées dans la dernière version de notre application et annoncées sur les canaux d'information publics (site web, FAQ, etc.). Dans ce point de situation, nous présentons les conclusions de Kraken, la manière dont nous avons réagi avec succès, les fonctionnalités de sécurité de CoolWallet ainsi que les bonnes pratiques que nos utilisateurs devraient adopter.

Table des matières

1. Résumé
2. Recommandations de sécurité de Kraken
3. Comment nous sécurisons le CoolWallet S
4. Comment nos utilisateurs peuvent sécuriser de manière optimale leur CoolWallet S
5. Réponse technique : résolution des vulnérabilités identifiées de Kraken
6. Conclusion

1. Résumé

L'équipe de sécurité de Kraken examine régulièrement la sécurité des principaux portefeuilles matériels afin d'améliorer la sécurité des fonds de leurs utilisateurs. En janvier 2020, Kraken Security Labs a contacté l'équipe technique de CoolBitX pour l'informer de l'évaluation du CoolWallet S et de l'identification de vulnérabilités potentielles dans l'application Android. Conformément à sa politique de divulgation responsable, Kraken nous a donné l'opportunité d'enquêter et de résoudre ces problèmes.

Comme le sait notre communauté, la protection des fonds de nos utilisateurs est notre priorité absolue. Bien que nous estimions qu'il n'y a jamais eu de risques majeurs pour les utilisateurs de CoolWallet S, notre équipe de développement a corrigé ces vulnérabilités et optimisé la sécurité de notre application en conséquence, afin de garantir la sécurité continue de vos informations sensibles.

Nous expliquerons les étapes que nous avons suivies de manière plus détaillée techniquement vers la fin de cette mise à jour de statut.

Le rapport de Kraken nous permet également de communiquer avec notre communauté et de renforcer les bonnes pratiques de sécurité que nos utilisateurs devraient adopter. Plus précisément, nous aborderons la meilleure façon de protéger votre téléphone, votre carte et votre clé de récupération.

2. Recommandations de sécurité de Kraken

Kraken nous a informés de la possibilité que le code PIN, le mot de passe d'appairage et les informations de base du matériel d'un utilisateur puissent être exposés à un acteur malveillant qualifié et sophistiqué si cette partie obtient un accès physique ou à distance au téléphone de l'utilisateur et à CoolWallet S au moyen d'une interception physique, d'une infection par un logiciel malveillant ou de techniques de phishing.

Selon Kraken, un attaquant peut pénétrer l'application CoolWallet en

1. soit en volant physiquement votre téléphone couplé (qui doit avoir un code PIN d'application désactivé)
2. ou en l'infiltrant avec des logiciels malveillants capables d'enregistrer des données de journal ou de prendre des captures d'écran d'informations sensibles.

L'équipe Kraken considère également que porter sur soi à la fois son CoolWallet S et son téléphone couplé constitue une vulnérabilité. Elle recommande les actions suivantes à ses utilisateurs, auxquelles nous avons ajouté nos réflexions :

1. Mettez à jour l'application Android CoolBitX Crypto :

Comme indiqué par Kraken, CoolBitx a publié des correctifs dans sa dernière version de l'application afin d'empêcher la divulgation potentielle du code PIN d'activation ou du code PIN AppLock. Nous conseillons à nos utilisateurs de toujours installer la dernière version officielle de notre application dès que possible.

2. Générez votre graine de portefeuille sur le CoolWallet S, pas sur l'application :

Bien que nous proposions les deux options à nos utilisateurs, nous sommes d'accord avec Kraken et recommandons aux utilisateurs de générer une seed avec notre carte. Ce guide 2019 explique comment et pourquoi.

3. Activez la fonction App Lock et affichez l'adresse de destination

Nous sommes d'accord avec Kraken : bien que ces fonctionnalités de sécurité ne soient pas définies par défaut, elles sont utiles dans notre application. Notre dernière version affiche une notification recommandant cette option aux utilisateurs.

4. Ne transportez pas le CoolWallet S avec un téléphone couplé

L'attrait essentiel du CoolWallet S réside dans sa finesse, qui permet de le transporter discrètement dans un portefeuille classique. Nous avons conçu ce produit pour permettre à nos utilisateurs d'accéder à leurs actifs et d'effectuer des transactions en déplacement. Kraken recommande de ne pas transporter un CoolWallet S avec son téléphone associé sur soi, en raison du risque de vol. Nous ne pensons pas que ce risque de sécurité soit plus important que celui des utilisateurs de portefeuilles électroniques USB, qui laissent généralement leurs appareils à la maison, sans surveillance directe, la majeure partie de la journée. En fait, un utilisateur de CoolWallet S concerné sera probablement alerté beaucoup plus rapidement d'un éventuel vol ou d'une interception de son portefeuille électronique, car il est susceptible de le porter sur lui.

En fin de compte, il est de la responsabilité de chaque utilisateur d'assurer sa sécurité. En cas de doute sur la sécurité d'une situation ou d'un lieu, il est préférable de ne pas porter d'objet de valeur comme votre CoolWallet S, votre portefeuille ou votre téléphone sur soi afin de réduire le risque de perdre votre téléphone et votre CoolWallet.

3. Comment CoolBitX sécurise le CoolWallet S

Au cours des cinq dernières années, CoolBitX a consacré une grande partie de ses ressources techniques au renforcement et à l'optimisation de la sécurité de ses produits. Nous avons également mis en place un processus multicouche pour sécuriser le CoolWallet S, en l'améliorant constamment afin de garder une longueur d'avance sur les acteurs malveillants. Ces mesures comprennent :

1. Élément sécurisé EAL5+ (protection par clé privée)

Le rapport Kraken confirme le haut niveau de certification de l'élément sécurisé (SE) EAL5+ de CoolWallet. Cette puce impénétrable garantit que la clé privée d'un utilisateur ne sera jamais compromise ni révélée, même à l'utilisateur lui-même.

2. Conception anti-effraction brevetée « compression à froid »

La plupart des portefeuilles matériels classiques sont dotés d'un format USB, ce qui les rend vulnérables aux altérations de la chaîne d'approvisionnement et des canaux auxiliaires, comme l'ont démontré des pirates informatiques éthiques par le passé. La conception ultra-fine du CoolWallet S et son procédé de revêtement par « compression à froid » rendent impossible toute altération par des individus malveillants sans causer de dommages physiques visibles à l'œil nu.

3. Authentification à 2+1 facteurs

Le CoolWallet S et son application (iOS/Android) utilisent un processus unique d'authentification à 2+1 facteurs, combinant plusieurs étapes de vérification biométrique et numérique sur téléphone, avec une confirmation par bouton physique après un contrôle visuel (portefeuille). Ainsi, même si quelqu'un parvient à déverrouiller votre téléphone à distance, il aura toujours besoin d'un accès physique à votre carte pour transférer des fonds.

4. Communication Bluetooth cryptée (AES256)

Le CoolWallet S utilise un cryptage Bluetooth AES256 de niveau militaire pour garantir la communication sans fil hors ligne avec notre application. Nous avons testé et amélioré la résilience de ce protocole de communication depuis 2015. À notre connaissance, notre communication Bluetooth reste sécurisée et n'a jamais été compromise.

5. Code PIN AppLock

Afin d'améliorer encore la sécurité et la confidentialité, nous avons introduit l'année dernière une fonctionnalité de verrouillage par code PIN sur l'application crypto CoolBitX pour les utilisateurs souhaitant plus de tranquillité d'esprit et de confidentialité concernant les informations de leur portefeuille. Nous recommandons à nos utilisateurs d'utiliser cette fonctionnalité pour renforcer la sécurité de leur portefeuille.

Pour déverrouiller l'application CoolBitX Crypto, vous devez connaître votre code unique à 6 chiffres. Vous pouvez également le désactiver ou le réinitialiser si nécessaire. Pour des raisons de sécurité, CoolBitX ne conserve aucune sauvegarde ; nous ne pouvons donc pas vous aider à récupérer un code PIN oublié. Il est de la responsabilité de l'utilisateur de déterminer comment stocker, protéger ou utiliser cette fonction de sécurité supplémentaire.

4. Comment sécuriser de manière optimale votre CoolWallet S

L'évaluation Kraken démontre que la sécurité du CoolWallet S dépend des mesures de sécurité prises par ses propriétaires pour protéger leur téléphone et leur clé de récupération. Nous partageons pleinement ce point de vue et avons déjà écrit de nombreux articles sur la meilleure façon de gérer ces aspects. Pour faciliter la tâche de nos utilisateurs, voici un bref résumé :

Gestion des phrases de départ

1. Assurez-vous d'avoir sauvegardé votre phrase de départ de manière sécurisée. Suivez ce guide en cas de doute.
2. Générez vos données de récupération de graines par carte, et non via notre application. Notez vos 12 à 24 graines sur notre portefeuille papier fourni et vérifiez-les par somme de contrôle lorsque vous y êtes invité.
3. Stockez votre graine de récupération dans un endroit totalement privé et sécurisé, et si possible, pas à proximité de votre CoolWallet S
4. N'enregistrez ni ne stockez jamais votre phrase de départ ou votre passe d'appariement dans un format numérique, tel qu'une capture d'écran, une photo ou un document.
5. Ne révélez jamais votre phrase de départ à qui que ce soit ou si vous y êtes invité par e-mail ou par téléphone.
6. Utilisez notre fonction Advanced Seed Recovery si vous devez restaurer vos fonds sur un autre CoolWallet S ou appareil mobile.

Sécurité intégrée à l'application

1. Assurez-vous d'utiliser la dernière version de l'application CoolBitX Crypto.
2. Assurez-vous d'avoir installé l'application officielle CoolBitX Crypto depuis Google Play (Android) ou l'App Store d'Apple (iOS). Ne téléchargez pas depuis des sites web ou des sources tierces.
3. Définissez un code PIN AppLock unique et facile à mémoriser à 6 chiffres. N'utilisez pas votre date de naissance ni une séquence prévisible comme 123456. Important : N'essayez pas de configurer un code PIN si vous n'avez pas correctement sauvegardé votre code de récupération sur votre portefeuille papier. L'oubli de votre code PIN sans sauvegarde de votre code de récupération risque de vous priver définitivement de l'accès à vos fonds.

Sécurité des téléphones portables

1. Utilisez les mesures de sécurité biométriques de votre téléphone telles que les empreintes digitales, la reconnaissance faciale ou l'identification de modèle en conjonction avec le code PIN (unique) de votre téléphone
2. Ne vous connectez pas à des connexions Wi-Fi inconnues ou suspectes en public
3. N'interagissez pas avec des sites Web, des applications, des e-mails, des messages ou tout ce qui pourrait compromettre la sécurité de votre téléphone par le biais de logiciels malveillants ou de méthodes de phishing.
4. Assurez-vous que le système d'exploitation de votre téléphone et les applications CoolBitX Crypto sont à jour.
5. Vérifiez que votre téléphone n’est pas déjà compromis par un logiciel malveillant.

Sécurité des cartes

1. Achetez uniquement un CoolWallet S directement auprès de nous ou d'un revendeur vérifié .
2. Générez votre graine de récupération en privé, via la carte, pas l'application.
3. Confirmez visuellement les détails de la transaction sur l'écran e-ink de la carte
4. Gardez votre CoolWallet S hors de vue et ne divulguez pas son emplacement ni les détails de son portefeuille à d'autres personnes.
5. Sachez à tout moment où se trouve votre CoolWallet S.

5. Réponse technique : résoudre les problèmes de vulnérabilité de Kraken

Journaux système et mémoire de données sensibles

Comme Kraken l'a révélé dans son rapport, son équipe a réussi à découvrir des données sensibles telles que la graine, la phrase secrète d'appairage et le code PIN de l'application dans les journaux et potentiellement en mémoire, ce qui augmente le risque de piratage de l'appareil. En réponse, l'équipe technique de CoolBitX a apporté les modifications décrites ci-dessous pour corriger ces problèmes.

1. Nous avons désactivé les journaux critiques sur l'application afin d'empêcher l'impression de journaux contenant des données sensibles
2. Nous avons appliqué des mesures de sécurité aux processus de génération de code source et de code PIN. Ainsi, les utilisateurs malveillants ne peuvent pas utiliser d'applications tierces pour enregistrer l'écran ou prendre des captures d'écran lorsqu'un utilisateur saisit son code source ou son code PIN.
3. Nous avons terminé notre optimisation de la gestion des variables afin d'accélérer le processus de récupération de mémoire sur les données sensibles.

Vérification des détails de la transaction

Le CoolWallet S dispose d'une fonctionnalité qui affiche les détails de la transaction, tels que l'adresse de réception et le montant, avant sa signature. Avant le rapport Kraken, cette fonctionnalité n'était pas définie par défaut.

Dans la dernière version de l'application CoolBitX Crypto, une nouvelle alerte de sécurité informe les utilisateurs que les détails complets d'une transaction peuvent éventuellement être affichés sur leur CoolWallet S. La notification s'affichera lorsque l'utilisateur créera son portefeuille pour la première fois.

Avertissement concernant le risque de perte de la carte et du téléphone et la non-activation du verrouillage des applications

Pour maximiser la sécurité lors de l'utilisation du CoolWallet S, veuillez activer la ou les fonctions de verrouillage par code d'accès/empreinte digitale/reconnaissance faciale sur votre téléphone en conjonction avec notre fonction AppLock pour l'application CoolBitX Crypto.

Soyez également vigilant quant à la manière dont vous protégez et exposez physiquement votre téléphone et CoolWallet S. Ne pas le faire peut entraîner la perte de vos fonds dans le cas peu probable où un tiers aurait accès simultanément à votre téléphone et à CoolWallet S.

Si vous avez perdu votre téléphone ou votre CoolWallet S, veuillez contacter notre équipe d'assistance client qui vous conseillera sur la manière de restaurer l'accès à vos fonds, ousuivez ce guide .

Verrouillage d'application

La dernière version de l'application CoolBitX Crypto intègre désormais un minuteur de 10 secondes qui agit comme une fonction de temporisation. Les utilisateurs doivent désormais confirmer leur identité avec leur code PIN unique à 6 chiffres si plus de 10 secondes se sont écoulées entre la fermeture et la réouverture de l'application.

Évitez le piratage de l'outil ADB

Nous avons mis en place une nouvelle approche pour éviter d'exécuter directement l'activité principale. Une condition préalable de vérification est vérifiée dans l'activité principale. Les utilisateurs qui tentent de contourner la page de vérification seront redirigés vers le processus de vérification initial.

Authentification des transactions

Selon le rapport Kraken, la signature de la transaction est conçue sans processus d'authentification. Cependant, le CoolWallet S utilise la vérification biométrique sur l'appareil mobile comme méthode d'authentification.

Stockage du code PIN

Les applications tierces n'ont pas accès au code PIN si l'appareil n'est pas rooté ou jailbreaké. De plus, l'équipe a sensibilisé les utilisateurs aux risques liés aux appareils rootés et jailbreakés pour la sécurité de leurs données.

6. Conclusion

CoolBitX a commencé à travailler sur le CoolWallet S début 2015, créant ainsi le premier portefeuille matériel au format carte de crédit et compatible Bluetooth, inaugurant ainsi une nouvelle catégorie de portefeuilles matériels portables et autonomes au format carte. Depuis, le CoolWallet a exploré des terrains inconnus, grâce à l'évolution continue de notre produit et de sa sécurité.

Nous considérons donc qu'il est de notre responsabilité de piloter le développement de critères de sécurité pour les portefeuilles matériels mobiles. CoolBitX accueille favorablement les évaluations d'intrusion réalisées par des experts du secteur comme Kraken Security Labs et nous examinons leurs conclusions avec le plus grand sérieux et la plus grande urgence.

Sur la base du rapport de Kraken, l'équipe a optimisé de manière satisfaisante l'expérience de sécurité dans l'application Android et a réussi à fermer les vecteurs d'attaque que les utilisateurs malveillants pourraient potentiellement utiliser pour extraire des données sensibles stockées dans l'application.

Certains problèmes, comme les appareils rootés et jailbreakés, échappent au contrôle de notre équipe et dépendent de la vigilance et de la responsabilité des utilisateurs de CoolWallet S. C'est pourquoi nous avons publié des guides et des annonces publiques pour sensibiliser nos utilisateurs et les inciter à sécuriser leurs appareils, par exemple en activant le code PIN AppLock dans l'application CoolBitX Crypto.

CoolBitX adresse ses plus chaleureux remerciements à l'équipe de Kraken Security Labs pour avoir examiné la résilience des processus de sécurité du CoolWallet S avec autant de détails et pour nous avoir donné l'opportunité d'agir sur la base de leurs idées.

Fournir une perspective aussi nouvelle et experte sur les vecteurs d’attaque possibles et les vulnérabilités des appareils est inestimable pour notre équipe et la communauté que nous servons.