Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Tangem - La faille laser qui condamne votre carte crypto à vie

Par : Korben ✨
11 juillet 2026 à 13:55

Vous voyez le principe du wallet crypto au format carte bancaire ?

Ça se compose d'une puce, d'un code, et de vos précieuses clés privées cryptos planquées dedans. Et bah figurez-vous que Baptistin Boilot, un chercheur de chez Ledger Donjon, vient de montrer qu'avec un laser, un scalpel et une sacrée dose de patience, on peut imposer un nouveau code à une carte Tangem sans jamais connaître l'ancien. C'est en tout cas la démonstration que vient de publier son labo, et le plus dingue, c'est que ça se joue sur un secure element Samsung certifié EAL6+, autrement dit le très haut du panier en matière de puces sécurisées.

Un petit pulse laser d'une nanoseconde envoyé pile au bon endroit, et le taux de réussite pour remettre à zéro le code secret de la carte monte à 100 % !!

Alors oui, Ledger Donjon c'est le laboratoire de sécurité de Ledger, concurrent frontal de Tangem, et Tangem n'a évidemment pas manqué de le rappeler. Sauf que la faille a été divulguée à la marque en février 2026, bien avant publication, donc tout a été fait dans les règles de l'art. Et puis Ledger n'a pas vraiment de leçons à donner niveau boulettes (rappelez-vous la fuite de sa base client ), donc on va juger le boulot technique plutôt que la rivalité commerciale.

Leur cible, c'est l'instruction SetPin, celle qui gère le code protégeant vos fonds. Quelque part là-dedans, la puce se pose une question toute bête, du genre "cette carte est-elle en mode récupération ?". Et le tir laser vient fausser ce test à l'instant exact où il s'exécute. Il ne grille rien du tout hein, il fausse juste le résultat une fraction de seconde, ce qui permet à la puce d'accepter un nouveau code sans jamais vérifier le vôtre.

Après, y'a quand même un sacré ticket d'entrée car pour en arriver là, les chercheurs ont ouvert la carte au scalpel, retiré le blindage métallique, dessoudé la puce, recâblé le tout sur une carte maison, et remplacé l'antenne NFC par une alimentation filaire pour piloter chaque signal. Un vrai travail d'orfèvre ! Ajoutez environ 250 000 dollars de matériel entre le laser, l'oscilloscope et la sonde électromagnétique et puis beaucoup de temps : 1 heure de balayage laser pour la première réussite, puis 2 heures par carte ensuite, sans parler de toute la R&D en amont.

La puce se défend, en plus. Elle tient un compteur de fautes en mémoire flash et se verrouille pour de bon au bout de quelques centaines de ratés. Sauf que les chercheurs ont trouvé la parade qui est de couper l'alimentation au moment précis où la puce s'apprête à noter l'incident. Du coup le compteur ne grimpe quasiment plus, et une carte qui aurait dû se bloquer très vite a encaissé plus d'une journée de tirs laser !

Alors, la question que vous vous posez forcément c'est : est-ce que votre Tangem est toujours fiable ? Pour vous, au quotidien, oui car il faut un accès physique à la carte. Puis l'opération laisse des dégâts parfaitement visibles (une carte charcutée au scalpel, ça se remarque), et je pense que personne ne va monter un labo à un quart de million pour siphonner votre wallet.

Maintenant, c'est vrai que cette faille ne sera jamais corrigée, car les cartes Tangem n'embarquent aucun mécanisme de mise à jour du firmware. Ça peut vous sembler absurde, mais en fait c'est pas si con que ça parce que qui dit pas de mise à jour dit pas de mise à jour vérolée. Hé hé.

Mais maintenant que le trou existe, et qu'aucun patch n'est possible, cela veut dire que toutes les cartes en circulation, dont la vôtre peut-être, restent vulnérables à vie. Et celle que vous achèteriez aujourd'hui ? Bah vulnérable tout pareil, tant que Tangem ne revoit pas son design.

Alors oui, l'attaquant ne lit pas vos secrets, il prend juste le contrôle du wallet en lui imposant son propre code, un peu comme une carte à puce sécurisée qu'on déverrouillerait de force sans en lire le contenu. C'est pourquoi Tangem estime que le risque est quasi inexistant, en rappelant au passage que n'importe quel secure element finira au bout d'un moment par céder si on y consacre assez de temps et d'argent.

Bref, si vous avez une Tangem au fond d'un tiroir, pas de panique, gardez-la juste bien à vous, parce que côté correctif, vous pourrez attendre longtemps, il n'y en aura jamais.

Source

Comment un hacker a dérobé plus de 2 millions de dollars à un contrat zombie fermé depuis 3 ans

15 juin 2026 à 16:17

Aztec Connect, une plateforme de confidentialité sur Ethereum mise hors service en 2023, vient d'être vidée de ses fonds par un attaquant qui a exploité une faille dans sa logique de vérification cryptographique.

Cryptojacking : comment des hackers volent la puissance de vos cartes graphiques en passant par Google et des chatbots IA

28 mai 2026 à 09:52

Dans un article de blog publié le 26 mai 2026, des chercheurs de Microsoft ont mis au jour une campagne malveillante d'un genre nouveau : des pirates détournent les résultats de recherche, et désormais les réponses des chatbots IA, pour infecter les PC puissants et exploiter leurs cartes graphiques à des fins de minage de cryptomonnaies.

700 millions de dollars saisis, 503 sites supprimés : comment ce gigantesque réseau d’arnaques crypto a fini par tomber

4 mai 2026 à 17:25

Fin avril 2026, les autorités américaines ont levé le voile sur une industrie structurée de l’arnaque aux cryptomonnaies, organisée depuis l’Asie du Sud-Est. Derrière des centaines de sites d’investissement, une opération d’ampleur révèle un système mêlant fraude financière, blanchiment et traite d’êtres humains.

ClawSwarm : le piège qui transforme vos agents IA en travailleurs fantômes d’une économie crypto

29 avril 2026 à 11:03

30 outils piégés, près de 10 000 téléchargements, et des agents IA qui travaillent en secret pour une économie de tokens crypto. Le 28 avril 2026, les chercheurs en cybersécurité de Manifold ont mis en lumière la campagne ClawSwarm, qui exploite le manque de supervision des déploiements d’agents autonomes.

« J’ai passé une journée vraiment difficile », comment une fausse app Ledger glissée dans l’App Store a aspiré 9,5 millions de dollars

15 avril 2026 à 15:40

Pendant près d’une semaine, une fausse application Ledger Live a séjourné sur le Mac App Store, après avoir passé la revue de sécurité d’Apple. Suffisamment longtemps pour vider les portefeuilles crypto de plus de cinquante utilisateurs, pour un total de 9,5 millions de dollars.

Bitcoin et le mystère Satoshi : pourquoi Adam Back est devenu le principal suspect du New York Times

8 avril 2026 à 13:02

Depuis la création de Bitcoin, la question de l’identité de Satoshi Nakamoto est devenue un mystère quasi mythologique pour la sphère crypto. Dans une longue enquête parue le 8 avril 2026, Le New York Times revient sur cette énigme, pointant cette fois directement du doigt un visage connu de la communauté : Adam Back, cryptographe britannique, inventeur de Hashcash et fondateur de Blockstream.

« Vous pouvez garder 10 % » : l’incroyable deal proposé au hacker responsable d’un vol de 25 millions en crypto

24 mars 2026 à 17:27

Samedi 21 mars 2026, le stablecoin USR de la plateforme de finance décentralisée Resolv s’est effondré à 26 centimes. Les raisons de ce séisme ? Une clé privée compromise qui a permis au pirate de créer 80 millions d’unités sans contrepartie. Trois jours plus tard, la négociation entre la plateforme et le supposé hacker reste au point mort.

J’ai transféré mes bitcoins à des escrocs pendant que je préparais une purée de pommes de terre

1 mars 2026 à 14:12

Je suis journaliste tech depuis 20 ans, j'ai écrit quantité d’articles sur la cybersécurité. Et je me suis quand même fait arnaquer comme un bleu par un faux conseiller Binance. Témoignage d'une escroquerie par téléphone d'une redoutable efficacité (et d'une humiliation personnelle cuisante).

❌
❌