TREZOR : Test complet et avis du wallet pour cryptomonnaies

27 février 2018 - 14:25

Temps de lecture : 10 minutes

Par Victor

La sécurisation des actifs cryptomonnaies est devenue un enjeu de taille avec leur démocratisation. Les transactions (y compris frauduleuses) sont intrinsèquement irréversibles et il est donc particulièrement important de veiller à la protection de vos cryptomonnaies, au risque de perdre la totalité de vos biens dans le cas contraire. C’est pour éviter ces mauvaises aventures que divers appareils appelés portefeuilles physiques ou cold wallets ont vu le jour. Ultra sécurisés, ces derniers sont censés permettre de stocker et d’échanger des devises cryptographiques sans craindre d’être piraté, et ce, même si votre ordinateur venait à être compromis.

Après avoir essayé le Ledger Nano S, nous nous sommes procurés son concurrent, le TREZOR. Voici son test.

Sommaire: 

Cold Wallet, quèsaco?

Un Cold Wallet – portefeuille physique dans la langue de Molière – est un dispositif physique extrêmement sécurisé qui permet d’accéder à vos fonds sans jamais risquer de voir ces derniers être siphonnés. Même sur un ordinateur vérolé, votre argent restera en sécurité. La clé privée qui permet d’accéder à votre argent stocké sur la blockchain est générée aléatoirement et est stockée sur une puce ultra robuste de l’appareil. Personne ne peut connaitre cette clé privée (pas même vous), et il n’est en théorie pas possible de la sortir de l’appareil.

Si vous perdez le portefeuille ou le code PIN? Pas de panique, vous aurez des mots de récupération à garder précieusement (de préférence dans un coffre-fort). Grâce à ces derniers, vous pourrez retrouver l’accès à votre argent en les rentrant sur une nouvelle clé, ou en réinitialisant la précédente.

Précision: Il est bon de rappeler qu’un portefeuille physique, tout comme n’importe quel portefeuille, ne contient pas vos cryptomonnaies. Vos cryptomonnaies sont dans la blockchain. Un wallet sert uniquement d’interface pour interagir avec la blockchain. Cette interaction nécessite une authentification pour prouver que vous êtes bien le propriétaire des fonds. Cette authentification se fait grâce à une clé privée, et c’est cette dernière qui est stockée dans un portefeuille physique. En cas de vol d’une clé privée, l’individu en sa possession peut faire des transactions non autorisées, d’où l’utilité de sécuriser l’accès à cette dernière.

Achat et déballage

Le TREZOR peut être acheté sur le site officiel au prix de 107.69€ dans deux coloris: noir et blanc. Nous avons personnellement opté pour la première déclinaison. Avec la livraison gratuite par courrier recommandé, l’appareil sera devant votre pallier dans les cinq jours et sécurité oblige, nous vous déconseillons très fortement d’acheter ce produit en occasion ou sur des plateformes non fiables qui pourraient vous envoyer une version douteuse.

L’emballage est scellé avec deux bandes de sécurité qui permettent d’assurer que le TREZOR n’a pas été ouvert et modifié durant le transport. En outre, et sans compter ces scellés, il est quasiment impossible d’ouvrir l’emballage sans déchirer le carton car les côtés sont littéralement collés avec de la glue. Nous avons fait de notre possible avec ce qu’on avait sous la main, mais nous n’avons pas réussi à laisser l’emballage intact. Voyez les traces visibles sur l’image qui suit.

Dans la boite, nous retrouvons en plus du TREZOR lui même, un câble micro-USB, un lot de quatre stickers TREZOR, une attache, un mini manuel d’une page indiquant les spécificités du matériel et une section « configuration recommandée » qui se limite à nous demander de nous connecter sur une page web. La boite se compose également de deux cartons de récupération sur lesquels noter les mots qui seront par la suite générés par notre TREZOR.

Ces cartons sont à garder le plus précieusement possible. Si quelqu’un venait à mettre la main dessus, il pourrait alors initialiser un autre appareil et accéder à vos actifs même si vous possédez encore le TREZOR. Ils vous permettrons de retrouver l’accès à votre clé privée (le « mot de passe » qui vous permet d’interagir avec la blockchain en tant que propriétaire des jetons) si votre TREZOR venait à être volé, cassé ou s’il vous arrivait d’oublier votre code PIN.

Ergonomie

Un TREZOR à côté d’un Nano S

Le TREZOR est incroyablement plus petit qu’il ne peut paraitre en photo ou en vidéo. Il est encore moins grand que le Ledger Nano S qui, rappelons le, est très loin d’être un mastodonte avec son format de clé USB.

Et si cet appareil est si peu encombrant, c’est aussi grâce à son poids plume. A peine 10 grammes sur la balance en raison de sa coque uniquement en plastique mat. Il s’accrochera sans aucun problème à votre porte clé.

Ergonomiquement parlant, il faut bien avouer que le produit est bien plus maniable que son concurrent de toujours – comprenez le Ledger Nano S -, dont l’utilisation à une main est rendue très difficile en raison de la disposition des deux touches sur la tranche supérieur ainsi qu’à cause de la protection en aluminium qui décale complètement son centre de gravité.

Le TREZOR ne souffre pas de ces problèmes et peut donc être utilisé sans problème à une main, sachant en outre qu’il n’est jamais nécessaire d’appuyer sur les deux boutons simultanément.

Le fonctionnement de l’appareil est aussi différent. Aucune application n’est réellement présente au sein du TREZOR, il n’y a donc aucun menu. Celui-ci est juste utilisé pour accepter ou refuser une demande provenant de l’ordinateur (par exemple une demande de transaction) et quelques autres actions comme afficher un QR code ou encore effectuer une mise à jour. Le reste du temps, le TREZOR se contentera d’afficher un logo entièrement personnalisable.

Cette absence d’installation a un autre gros avantage: contrairement au Ledger Nano S qui ne peut stocker que 5 micrologiciels simultanément en son sein (et donc interagir seulement avec 5 cryptomonnaies), le TREZOR peut lui être utilisé avec toutes les cryptomonnaies compatibles en même temps, sans avoir à désinstaller et réinstaller des programmes.

L’utilisation du TREZOR est donc bien plus pratique et ne nécessite pas de faire de multiples manipulations pour installer puis sélectionner le portefeuille avec lequel nous voulons interagir.

Autre point fort indéniable de ce portefeuille physique, son écran relativement éclairé, réactif et affichant des blancs très réussis pour ce type de produit. Plus large que son concurrent, ce dernier peut afficher des QR code et se permet même de faire quelques animations pour rendre la navigation plus agréable.

On regrette tout comme le Ledger Nano S l’utilisation d’une entrée micro-USB et non USB C, à la fois plus pratique et récent que son prédécesseur. Ce dernier tend d’ailleurs à se faire rare et utiliser un câble pour son téléphone et portefeuille aurait été plus confortable.



TREZOR

Mise en route et compatibilités

Au premier branchement, l’appareil s’allumera pour vous indiquer de vous rendre sur la page d’initialisation du TREZOR.

Cette page vous présente le fonctionnement du code PIN d’un TREZOR, ainsi que l’utilité des mots de récupération.

Une fois cette courte page lue, vous êtes invité à vous rendre sur une seconde interface: celle du logiciel qui vous permet d’interagir avec le portefeuille sur votre ordinateur.

Ce logiciel peut être utilisé directement depuis un navigateur Chrome/Chromium via le lien https://wallet.trezor.io , mais une application peut aussi être installée.

Si vous vous rendez sur cette page avec un appareil TREZOR encore neuf, un pop-up apparaitra pour vous demander d’installer le firmware sur le produit. Celui-ci n’est en effet pas installé par défaut pour des raisons de sécurité.

L’étape suivante concerne la mise en place d’un code PIN. Composé d’au moins 4 chiffres, il sera demandé à chaque branchement. Le système mis en place par TREZOR est original: un damier s’affichera sur votre ordinateur sans aucun caractère, et un second apparaitra sur votre appareil mais cette fois-ci avec les chiffres apparents. Il vous faudra alors cliquer avec votre souris sur l’emplacement correspondant au chiffre désiré.

La dernière étape avant de pouvoir pleinement utiliser votre TREZOR consiste à remplir scrupuleusement les 24 mots qui vous permettrons de restaurer votre portefeuille.

Au moment où nous écrivons ses lignes, le TREZOR est compatible avec: Bitcoin, Bitcoin Cash, Bitcoin Gold, Litecoin, Ethereum, Ethereum Classic, Dash, Zcash, Expanse, Ubiq, Nem, ainsi que tous les jetons ERC20 (basés sur la blockchain Ethereum). Néanmoins, des ajouts réguliers sont faits. Nous vous conseillons donc de vérifier sur la page de référence.

Interface

L’interface de l’application est plutôt soignée, et permet d’analyser vos dépenses à travers un graphique.

En plus de la page d’accueil, trois panneaux principaux sont disponibles: Recevoir, Envoyer, ainsi que Signer et vérifier. Ce dernier permet comme son nom l’indique de signer un message avec votre clé privée.

Un menu déroulant présent en haut à droit de la page sert à naviguer entre les différentes cryptomonnaies. Gros point noir cependant, les actifs basés sur la blockchain Ethereum doivent être géré depuis MyEtherWallet car l’interface ne les gère pas.

Les paramètres permettent de réinitialiser le TREZOR, modifier le logo qui s’affiche sur ce dernier, changer le code PIN, ou encore modifier le nom du portefeuille.

Sécurité

La sécurité est un point crucial pour un portefeuille physique, et entre Ledger et TREZOR les choix ont été radicalement différents. Les deux firmes n’hésitent pourtant pas à mettre en avant leur décision par rapport à celle de l’autre, mais qui a raison? En réalité personne, et les mesures relèvent juste de visions philosophiques différentes.

Ledger à pour sa part décidé d’utiliser un « élément sécurisé ». C’est une puce capable de contenir des données de manière très sécurisé conformément à des exigences fixés par des organismes de confiance. L’utilisation d’une telle puce à un avantage certain. Tout d’abord, par son opacité totale, la modification de son cœur est rendu extrêmement  difficile voir dans la pratique quasiment impossible (en 2016 cependant, des pirates ont réussi à voler des donnée présent dans ce type de puce) . Celle-ci étant signée électroniquement, il est facile de vérifier qu’elle n’a pas été altérée physiquement. C’est la raison pour laquelle la boîte des Ledger Nano S n’est pas scellée; quant bien même un intermédiaire aurait modifié la clé et changé la puce (voir carrément l’appareil entier), le logiciel Ledger peut aisément s’en rendre et donc rendre inopérable celle-ci, car la signature électronique de l’appareil aura changé. (Un élément sécurisé n’a des avantages que pour les altérations physiques/quand une personne a un accès direct à l’appareil).

Mais le revers de la médaille peut-être vu par certain comme conséquent. En effet, comme nous vous le disions, la puce est totalement opaque et sa conception dépend en intégralité d’un tiers de confiance et des contrats de confidentialités sont signés. Il est donc impossible de s’assurer que cette puce ne comporte pas de failles de sécurité, voir qu’aucune porte dérobée n’a été intégrée sciemment par son créateur.  Cette philosophie, qui comporte ses avantages si nous faisons réellement confiance au tiers, est assez loin de celle open-source et décentralisée des cryptomonnaies. C’est la raison pour laquelle TREZOR n’a pas opté pour ce type de puce. La firme prend position et explique dans son blog:

« Les organismes gouvernementaux font pression sur les producteurs de puces pour qu’ils incluent des portes dérobées à leurs produits, alors pourquoi supposer que ce serait différent avec une SE, surtout en sachant qu’elles sont utilisées pour des transactions financières? L’utilisateur ne sera jamais au courant […]

Les éléments sécurisés sont orientés vers la sécurité physique, en fortifiant les données à l’intérieur de la puce. Mais la sécurité physique de Bitcoin n’est pas aussi importante, car la menace prédominante pour le bitcoin vient du monde numérique, sous forme de virus et de pirates informatiques.[…]

Chez SatoshiLabs, nous restons sceptiques quant à l’utilisation des éléments sécurisés comme garantie de sécurité. La protection supplémentaire n’est peut-être pas si importante, alors que la perte de l’open source pourrait représenter une menace sérieuse pour la sécurité. »

Il revient donc à vous, client, de peser le pour et le contre. Quoiqu’il en soit, le Ledger et le TREZOR restent tous deux des bunkers contre le piratage et cette différence matériel ne joue pas dans les attaques virtuelles, bien plus probables.

Si quelqu’un venait à voler votre clé, il lui faudrait encore réussir à deviner votre PIN. Après chaque essai infructueux, un temps d’attente multiplié par 2 après chaque nouvel échec est mis en place, et après 16 tentatives les données sont effacées. Il faudrait 18 heures pour essayer les 15 codes PIN. Heureusement, si vous possédez toujours votre carton de récupération, il vous sera possible de restaurer votre appareil (ou un autre si celui-ci a été dérobé) avec un nouveau code.

Le TREZOR est doté d’une fonctionnalité très intéressante. Il est possible de configurer de multiples mots de passes, chacun donnant accès à un portefeuille différent et les autres restants cachés. En cas de tentative d’extorsion, il est donc possible de donner un « faux » mot de passe fonctionnel.

Conclusion

Le TREZOR est un excellent portefeuille qui mérite sa place parmi les leaders du secteur.  Le nombre de jetons compatibles peut cependant être un peu juste pour certaines personnes, et il est dommage que l’utilisation de services comme MyEtherWallet soit obligatoire pour gérer des tokens Ethereum.

On aime:

  • La sécurité
  • L’ergonomie excellente
  • La compatibilité cross-plateforme
  • La transparence

On aime moins:

  • Le prix relativement élevé
  • MyEtherWallet qui casse l’expérience utilisateur



TREZOR

Recevez le top 3 de l'actualité crypto chaque dimanche