Aller au contenu
Actu
JADEPUFFER : le premier rançongiciel piloté par une IA a oublié de vérifier son propre compte en banqueBIP-110 : la mise à jour qui divise Bitcoin, boudée par les mineurs et rejetée par ses starsClaude Code traquait ses utilisateurs chinois : la ligne de code qui embarrasse AnthropicTokenisation des actions : pourquoi Wall Street lorgne ces 5 blockchainsCoinbase veut vendre des actions à Londres : le régulateur britannique vient de dire ouiJADEPUFFER : le premier rançongiciel piloté par une IA a oublié de vérifier son propre compte en banqueBIP-110 : la mise à jour qui divise Bitcoin, boudée par les mineurs et rejetée par ses starsClaude Code traquait ses utilisateurs chinois : la ligne de code qui embarrasse AnthropicTokenisation des actions : pourquoi Wall Street lorgne ces 5 blockchainsCoinbase veut vendre des actions à Londres : le régulateur britannique vient de dire oui
Actualités Forex

Ledger contre Tangem : un laser suffit à contourner la sécurité des cartes, et rien ne peut le réparer

Par Jean Claude Convenant 5 min de lecture

Un tir de laser d’une nanoseconde. C’est tout ce qu’il aura fallu aux chercheurs de Ledger pour faire vaciller la promesse de sécurité de Tangem, l’un de ses concurrents directs sur le marché des portefeuilles matériels. La démonstration a été rendue publique le 9 juillet 2026 par l’équipe Ledger Donjon, le laboratoire offensif du fabricant français. Et le détail qui fait mal n’est pas l’attaque elle-même. C’est qu’elle est, par construction, impossible à corriger.

Tangem commercialise des cartes à puce, format carte bancaire, censées ranger vos clés privées à l’abri des regards. Pas d’écran, pas de câble, pas de batterie : on approche la carte de son téléphone en NFC et l’affaire est réglée. Simplicité maximale. C’est précisément cet argument commercial qui vient de prendre un coup.

Une opération de chirurgie électronique

Ne vous imaginez pas un pirate armé d’un stylo laser dans un café. L’attaque publiée par Ledger Donjon relève du travail de laboratoire, pointilleux et coûteux. Les chercheurs ont d’abord mis à nu le secure element de la carte, cette puce sécurisée certifiée au niveau EAL6+ qui garde jalousement les clés privées. Un niveau de certification très élevé, réservé aux composants les plus sensibles du secteur bancaire et de l’identité.

Une fois la puce exposée et raccordée à un matériel sur mesure, ils ont dirigé une impulsion laser d’une nanoseconde sur une zone très précise du composant. L’objectif : provoquer ce qu’on appelle une injection de faute. En clair, glisser un grain de sable dans les rouages du firmware au moment exact où celui-ci vérifie le mot de passe. Un seul contrôle conditionnel est faussé, et la carte se comporte comme si le code était bon. Le mot de passe se retrouve réinitialisé à une valeur connue de l’attaquant.

Charles Guillemet, directeur technique de Ledger, a résumé la trouvaille en une formule qui fait mouche sur X : « Une vérification, un laser, chaque carte. » Le titre de la recherche parle lui d’un « piège d’immuabilité ». C’est là que réside le vrai problème.

Le talon d’Achille : l’impossibilité de patcher

Dans le monde du logiciel, une faille se corrige. On publie une mise à jour, on la déploie, on tourne la page. C’est aussi vrai pour la plupart des portefeuilles matériels : un Ledger ou un Trezor reçoit régulièrement des mises à jour de son firmware pour combler les brèches découvertes après la vente.

Les cartes Tangem, elles, n’offrent aucun mécanisme de ce type. Le firmware est gravé une fois pour toutes. Ce choix a longtemps été présenté comme une force — moins de surface d’attaque, pas de risque de compromission via une mise à jour vérolée. La médaille a désormais son revers. Puisque le code ne peut pas être modifié, la faille révélée par Ledger Donjon restera là, à demeure, sur l’intégralité des cartes déjà vendues et distribuées. Il n’existe aucun correctif possible. Aucun.

Difficile de ne pas voir l’ironie de la situation. L’immuabilité, argument marketing valorisé dans l’univers crypto où l’on aime ce qui ne bouge pas, se transforme ici en piège. Ce qui ne peut pas être altéré ne peut pas non plus être réparé.

Faut-il jeter sa carte à la poubelle ?

Pas si vite. Avant de céder à la panique, il faut remettre l’attaque à sa juste échelle. Tangem a réagi en qualifiant le risque de « pratiquement inexistant », et l’entreprise n’a pas tort sur un point crucial : les conditions requises sont draconiennes.

D’abord, il faut un matériel estimé à 250 000 dollars. Ce n’est pas l’équipement du hacker moyen, c’est celui d’un laboratoire de recherche en sécurité matérielle. Ensuite, et c’est décisif, l’attaquant doit avoir la carte physiquement entre les mains. Pas de piratage à distance, pas de vol de fonds depuis l’autre bout de la planète. Il faut voler ou saisir la carte, la décapsuler, l’installer sur un banc de test dédié et opérer avec une précision chirurgicale.

Autrement dit, pour l’immense majorité des détenteurs, le scénario reste théorique. On parle d’une menace de niveau étatique ou de crime organisé très sophistiqué, ciblant une personne dont le portefeuille justifie un investissement pareil. Le particulier qui range quelques centaines d’euros de crypto sur sa carte ne risque pas grand-chose de concret aujourd’hui.

Ce qui n’enlève rien à la portée de la démonstration. Elle rappelle une vérité que le secteur préfère souvent taire : aucun portefeuille matériel n’est inviolable. La certification EAL6+, aussi impressionnante soit-elle sur le papier, ne rend pas une puce indestructible face à un adversaire déterminé et bien équipé. Les mêmes techniques d’injection de faute ont déjà été utilisées par le passé contre d’autres composants sécurisés, y compris dans le secteur bancaire.

Un règlement de comptes entre concurrents

Il faut le dire : Ledger et Tangem se disputent le même gâteau. Que le laboratoire de l’un publie une faille non corrigeable chez l’autre n’est évidemment pas neutre. La recherche est légitime et le travail technique sérieux — Ledger Donjon jouit d’une vraie réputation dans la communauté. Mais le timing et la mise en scène, tweet appuyé du CTO à l’appui, relèvent aussi de la guerre commerciale.

Pour le lecteur, francophone ou non, la leçon dépasse la querelle de marques. Un portefeuille matériel réduit le risque, il ne l’annule pas. La sécurité de vos cryptomonnaies ne tient jamais à un seul appareil, mais à un ensemble de pratiques : garder la maîtrise physique de son matériel, se méfier de l’achat d’occasion ou hors circuit officiel, et ne pas confondre « certifié » avec « inviolable ». Le rappel, lui, ne s’effacera pas d’un coup de laser.

Jean Claude Convenant