Ledger Recover, vague de panique (in)justifiée?
Avec Recover, le nouveau service offert par l’entreprise Ledger à ses utilisateurs, cette dernière provoque l’ire d’une communauté ultra réactive et hyper sensible aux enjeux de sécurité. Alors, au milieu de tout le bruit provoqué, il importe de se poser la question: cette vague de panique, est-elle justifiée ou injustifiée? Pour le savoir, CryptoNews a contacté le “Chief Technology Officer” (CTO) de Ledger, M. Charles Guillemet.
L’entreprise Ledger, fleuron du numérique français spécialisé dans la confection et la vente de portefeuilles physiques permettant de stocker des cryptoactifs, déclenche une polémique avec sa nouvelle offre: Recover.
Celle-ci permet aux personnes qui feront les démarches nécessaires de pouvoir récupérer leur fameuse “seed phrase”, quand cela est traditionnellement impossible, grâce à leur pièce d’identité, passeport ou carte nationale.
En règle générale, et cela est d’autant plus vrai pour les personnes évoluant dans le monde de la crypto depuis son origine, si un utilisateur perd sa “seed phrase” – les 12 ou 24 mots qui sont la clef du portefeuille – il perd l’accès à son “wallet” et donc à ses actifs numériques. D’où le célèbre adage: “Not your keys, not your coins”.
Pourquoi, alors, ce qui pourrait être perçu comme une avancée significative dans l’innovation technologique et cryptographique qui sous-tend la conception et la fabrication portefeuilles numériques, inquiète au lieu de réjouir?
C’est ce que nous allons voir.
“Notre tort est dans la communication”
Tout commence en ce début de semaine, quand l’entreprise Ledger publie la mise à jour 2.2.1 de son micrologiciel (firmware update). Cette dernière, outre diverses mises à niveau, introduit une nouvelle solution: Recover. Les utilisateurs qui la téléchargent lisent ce qui va changer et, surprise! ils apprennent qu’il leur sera désormais possible, en échange d’une pièce d’identité valable, de sauvegarder leur “seed phrase”.
Ainsi, une page de l’histoire encore courte mais pleine de rebondissements des cryptoactifs, de leur stockage et des enjeux de sécurité aussi bien que de souveraineté, semble être entrain de se tourner. Un climat d’inquiétude s’abat alors sur la crypto sphère qui, sur Twitter et Reddit principalement, exprime ses craintes et ses incompréhensions.
Des utilisateurs de produits Ledger contactent l’entreprise, l’interpellent sur les réseaux sociaux, ils veulent en savoir plus. A partir de ce moment, reconnait Charles Guillemet, CTO de l’entreprise :
nous ne menons plus le débat et ne pouvons pas expliquer correctement ce qu’apporte cette nouvelle solution. Au lieu de ça, nous nous attelons, depuis hier, et aujourd’hui encore, à rétablir la vérité sur certaines rumeurs qui circulent.
Entre autres, démentir ce que certaines personnes clamaient être une violation de leur liberté aussi bien que de leur indépendance et de leur sécurité, précisément le fait que cette solution ne soit pas optionnelle. Ce n’est pas le cas. Pour profiter de cette solution, il vous faudra faire des démarches ; le seul téléchargement de la mise à jour 2.2.1 n’oblige donc personne à sauvegarder sa “seed phrase”.
Mais aussi cette rumeur tenace, et difficilement démontée, suivant laquelle l’entreprise Ledger profiterait de cette mise à jour pour avoir un accès aux portefeuilles de ses clients.
En réalité, nous dit Charles Guillemet:
On avait prévu un lancement en bonne et due forme en début de semaine prochaine, accompagné d’explications précises sur ce qui pouvait désormais changer. Mais le décalage entre la communication de l’entreprise et les questions des internautes et des utilisateurs a été trop grand. Notre tort est dans la communication.
Ledger Recover, pourquoi et comment ?
Pratiquement, cette nouvelle solution fonctionne comme suit: Ledger Recover utilise le partage de clé secrète de Shamir pour crypter et diviser votre clé personnelle en trois fragments. Un fragment est envoyé à Coincover, un autre à Ledger et un dernier à un fournisseur de sauvegarde indépendant. Lorsque vous voulez récupérer votre la clé de votre portefeuille, vous devez vous authentifier auprès de deux de ces détenteurs pour reconstituer la clé.
Pour le “Chief Technology Officer de Ledger”, Charles Guillemet:
Il y a ceux qui n’aiment pas, ne trouvent pas intéressant ce service. Ces personnes sont sans doute à l’aise avec nos produits et comprennent leur fonctionnement complexe, ils n’éprouvent pas de besoin pour cette solution.
A titre personnel, je sais gérer mon backup, donc je n’utiliserai pas ce service ; mais ma mère, pour elle, c’est vraiment intéressant. En fait, pour les personnes qui voudront bénéficier de ce service, il y a un arbitrage à faire entre souveraineté personnelle et sécurité ou confort. Or, je crois qu’il y a pas mal de monde qui se préoccupe de sa sécurité, de son confort.
Il précise, lorsque nous lui objectons que beaucoup de personnes, c’est surtout la question de savoir si elles peuvent ou non faire confiance à un acteur privé comme Ledger:
Evidemment nous sommes un tiers de confiance, mais nous essayons d’en demander le moins possible à nos utilisateurs, fidèles à nos valeur de transparence. Mais nous n’obligeons personne.
Tout cela, en somme, est fait pour rendre l’expérience utilisateur plus aisée, plus sûre et, surtout, pour abstraire aux yeux des utilisateurs les complexité inhérentes aux technologies qui sous-tendent les produits et l’ensemble de l’écosystème du Web3.
