Ledger prétend que ce n'est pas nécessaire d'avoir un sceau de sécurité sur leurs emballages parce que leur logiciel vérifie que le Ledger est authentique et non modifié (surement une signature du firmware).
On peut imaginer des douzaines de raisons pour lesquelles l'absence est une mauvaise chose. En voici une hyper low tech:
Imaginez que la boite que vous recevez contienne une carte de bienvenue qui vous explique ceci:
Guide de démarrage simplifié
Afin de simplifier la procédure, vous pouvez utiliser votre Ledger immédiatement avec le PIN code pré-programmé 0000
.
Note: N'oubliez pas de modifier ce code dans les réglages avant de placer des sommes importantes sur votre Ledger.
Note: N'oubliez pas de sauvegarder votre phrase de 24 mots avant de placer des sommes importantes sur votre Ledger.
Crédible ou pas crédible?
Je prends le pari qu'un certain nombre d'utilisateurs trouveraient ça parfaitement normal. C'est presque aussi simple qu'une nouvelle carte SIM!
ET POURTANT!!! Si vous receviez ça, vous auriez certes un Ledger authentique (et la validation logicielle se ferait normalement) mais il aurait été préprogrammé par un intermédiaire qui aurait programmé une phrase de 24 mots et le code 0000
.
Ensuite l'intermédiaire n'aurait plus qu'à attendre que vous mettiez une grosse somme sur le Ledger. Même en changeant votre code PIN, il pourrait tout vous voler à tout moment à distance (car il connaitrait votre phrase de 24 mots).
Ce type d'arnaque low tech se déjoue bien avec un sceau de sécurité un minimum difficile à refermer.
Note: Pour se prémunir contre cette arnaques et pas mal d'autres attaques, toujours réinitialiser son hardware wallet avant la première utilisation (hors test).
Haha Ledger semble se rendre compte du problème finalement.
Il y a maintenant une bannière d’avertissement sur leur site: