Faille Critique sur Tangem ? Ledger Révèle une Attaque, Tangem Réfute

Pourquoi cet article est crucial pour la sécurité de vos cryptos : La guerre des “hardware wallets” vient de franchir un nouveau cap. Le 16 septembre, l’équipe de sécurité de Ledger, le Donjon, a révélé une faille critique dans les cartes de son concurrent Tangem, permettant de “craquer” un code PIN en quelques heures au lieu de plusieurs jours. Tangem a immédiatement réfuté la gravité de la faille. Alors, qui croire ? Guerre marketing ou réelle vulnérabilité ? Nous décryptons cette controverse qui nous rappelle une vérité essentielle : la sécurité absolue n’existe pas.

Controverse sur les Wallets Tangem : Ledger Révèle une Faille Critique, Tangem Réfute

Une nouvelle bataille agite le monde des portefeuilles matériels. Le 16 septembre 2025, Charles Guillemet, le CTO de Ledger, a publié un rapport choc de son équipe de sécurité, le Donjon, détaillant une vulnérabilité critique affectant les cartes de son concurrent Tangem. La faille permettrait de contourner les mécanismes de sécurité de la carte pour deviner un mot de passe par force brute à une vitesse considérablement accélérée.

L’Attaque de “Tearing” : une Accélération de Plus de 100 Fois

La vulnérabilité, baptisée “tearing attack” (attaque par déchirement), est aussi ingénieuse que redoutable. Les chercheurs de Ledger ont découvert qu’en coupant l’alimentation de la carte Tangem à un moment très précis (environ 6700 microsecondes après une tentative de mot de passe erronée), la carte “oublie” d’enregistrer cet échec .

L’impact est considérable :

• Le mécanisme de sécurité de Tangem, qui impose un délai croissant entre chaque tentative (jusqu’à 45 secondes), est totalement contourné.
• Un attaquant peut alors effectuer environ 2,5 tentatives par seconde, au lieu d’une toutes les 45 secondes, soit une accélération de plus de 100 fois du processus de force brute .

Selon les calculs de Ledger, un code PIN à 4 chiffres pourrait être trouvé en une heure (contre 5 jours normalement), et un code à 6 chiffres en 4,5 jours (contre plus d’un an) .

La Réponse de Tangem : “une Menace Irréaliste”

Tangem a rapidement publié une réponse officielle, minimisant la portée de la découverte et affirmant qu’il ne s’agit pas d’une vulnérabilité critique. Leurs arguments principaux sont :

1. Complexité Extrême : L’attaque nécessiterait un accès physique à la carte, un équipement spécialisé coûteux (Proxmark) et des compétences techniques très pointues, ce qui la rend “irréaliste” en conditions réelles.
2. Dommages Matériels : Tangem soutient que la répétition de cette attaque endommagerait la mémoire de la puce, la rendant inutilisable avant qu’un mot de passe complexe ne puisse être trouvé.
3. Confusion sur le Code d’Accès : Argument clé, Tangem précise que ses cartes utilisent un “code d’accès” (alphanumérique) et non un simple “code PIN” (numérique), rendant la force brute beaucoup plus longue que les estimations de Ledger.

Le Point Qui Fâche : des Cartes non Mises à Jour

Malgré la défense de Tangem, un fait demeure incontestable et a été confirmé par Charles Guillemet : les cartes Tangem déjà en circulation ne peuvent pas recevoir de mise à jour de leur firmware [3]. Par conséquent, si la vulnérabilité est avérée, elle est permanente pour les utilisateurs actuels.

Ledger a également révélé un autre point troublant : bien que Tangem ait implémenté un “canal sécurisé” pour chiffrer la communication, celui-ci ne serait jamais activé .

Guerre Marketing ou Véritable Faille ?

Cette controverse s’inscrit dans un contexte de concurrence féroce entre les fabricants de wallets. Certains observateurs y voient une manœuvre de Ledger pour décrédibiliser un concurrent, une pratique courante dans l’industrie.

Cependant, la crédibilité de l’équipe du Donjon de Ledger n’est plus à prouver, et leur rapport est étayé par des démonstrations techniques. La vérité se situe probablement entre les deux : la faille est réelle, mais son exploitation est complexe et ne menace vraisemblablement que les utilisateurs ayant choisi un mot de passe faible et purement numérique.

Conclusion : Que Doivent Faire les Utilisateurs ?

Cette affaire est un rappel crucial pour tous les détenteurs de hardware wallets, quelle que soit la marque :

1. Utilisez des mots de passe (ou codes d’accès) robustes : longs, alphanumériques, avec des caractères spéciaux. Ne vous contentez jamais d’un simple code PIN à 4 ou 6 chiffres.
2. La sécurité physique est primordiale : Ne laissez jamais votre portefeuille matériel sans surveillance. L’attaque décrite nécessite un accès physique prolongé.
3. Aucun appareil n’est infaillible : La sécurité est une course constante entre les attaquants et les défenseurs. La vigilance reste votre meilleure protection.
   

Pour les utilisateurs de Tangem, la recommandation est simple : assurez-vous d’utiliser un code d’accès fort et complexe. Si c’est le cas, le risque posé par cette attaque, bien que réel, est considérablement réduit.