Ledger vs Trezor : À la recherche du portefeuille crypto idéal

Ledger et Trezor sont les portefeuilles de crypto-monnaies les plus populaires depuis de nombreuses années. Mais aucune des deux marques n'est parfaite, et des vulnérabilités ont été découvertes dans les deux à plusieurs reprises. Plus de tels incidents apparaissent, plus la question se pose : quel portefeuille peut réellement être considéré comme fiable ?

Trezor : Attaques via les puces, le site web et les réseaux sociaux

Une autre raison de discuter de la sécurité de Trezor est apparue après un rapport du Donjon, l'équipe de recherche de Ledger. Ses spécialistes ont trouvé une vulnérabilité dans la puce TROPIC1 utilisée dans le portefeuille Trezor Safe 7. L'attaque nécessitait un accès physique à la puce, un équipement de laboratoire et une exposition laser précise. Trezor a déclaré que les fonds des utilisateurs sont en sécurité car TROPIC1 n'est que l'une des trois couches de protection de l'appareil.

Loading...

Le tweet a été supprimé par son auteur.

Mais nous avons tout sauvegardé 🙂.

Ce n'était pas le premier épisode similaire. En mars 2025, Ledger Donjon a signalé une vulnérabilité dans le Trezor Safe 3. Il s'agissait d'une attaque en cas de vol physique du portefeuille : le problème était lié au microcontrôleur qui fonctionne avec la puce protégée. Trezor a déclaré à l'époque que le Safe 5 n'était pas affecté par le problème, et que les chercheurs n'avaient pas pu extraire de clés privées ou de codes PIN de l'appareil testé.

Il y a également eu des attaques non pas sur l'appareil lui-même, mais sur les utilisateurs de Trezor. En 2024, l'entreprise a mis en garde contre une campagne de phishing : les attaquants utilisaient le formulaire de contact du site officiel et envoyaient des e-mails ressemblant à des réponses du support. Trezor a souligné qu'il n'y avait eu aucune fuite d'adresses e-mail, mais a rappelé aux utilisateurs la règle principale : l'entreprise ne demande jamais de sauvegarde de portefeuille ou de phrase de récupération (seed phrase).

En janvier 2024, des rapports ont fait état d'un accès non autorisé à un portail de support tiers. En mars 2024, un attaquant a compromis le compte X de l'entreprise et a publié de fausses préventes sur le réseau Solana. Ces cas ne signifiaient pas que les portefeuilles matériels eux-mêmes avaient été directement piratés, mais ils ont montré que les attaquants peuvent cibler non seulement l'appareil, mais aussi les canaux de communication entre la marque et les utilisateurs.

Ledger : Un portefeuille protégé, un écosystème vulnérable

Ledger est également loin d'être parfait. La marque s'appuie sur des puces protégées conçues pour isoler les clés privées à l'intérieur de l'appareil. Cependant, ces dernières années ont montré que les attaquants peuvent cibler plus que le portefeuille lui-même. Les applications, les partenaires, les bibliothèques pour les services décentralisés et les utilisateurs recevant de faux e-mails d'escrocs peuvent tous devenir vulnérables.

En janvier 2026, Ledger a été confronté à une fuite de données personnelles de clients via son partenaire de paiement Global-e. Selon l'enquêteur blockchain ZachXBT, une vulnérabilité chez le fournisseur tiers a exposé les coordonnées des utilisateurs de Ledger. Dans une lettre aux clients concernés, Global-e a déclaré avoir détecté une activité suspecte dans une partie de son réseau. L'entreprise a confirmé un accès non autorisé à certaines données, notamment les noms et les coordonnées des clients.

Loading...

Le tweet a été supprimé par son auteur.

Mais nous avons tout sauvegardé 🙂.

En 2024, les propriétaires de Ledger ont été frappés par une attaque de phishing massive. Des escrocs ont envoyé des e-mails au nom de l'entreprise et ont prétendu qu'il y avait eu une violation de données. Les utilisateurs étaient invités à « vérifier » leur phrase de récupération sur un faux site web. La page ressemblait à un service officiel de Ledger, mais avait été créée pour voler des données. Si une personne saisissait une phrase incorrecte, le site affichait une erreur et lui demandait de réessayer jusqu'à ce que les escrocs reçoivent la bonne combinaison.

En novembre 2024, une fausse application Ledger Live a été trouvée dans le Microsoft Store. Les utilisateurs la téléchargeaient en pensant installer l'interface officielle pour travailler avec leur portefeuille. Selon les rapports des médias, la fausse application a permis aux attaquants de voler 768 000 $.

Un autre épisode sérieux s'est produit en décembre 2023. À l'époque, la bibliothèque Ledger Connect Kit utilisée par les applications décentralisées a été compromise. Ledger a déclaré que la cause était une attaque de phishing contre un ancien employé : l'attaquant a obtenu la possibilité de télécharger un fichier malveillant sur un gestionnaire de paquets JavaScript. Selon le PDG de Ledger, Pascal Gauthier, l'entreprise, en collaboration avec WalletConnect, a corrigé l'exploit environ 40 minutes après sa découverte et a remplacé la bibliothèque compromise.

Il n'existe pas de portefeuille parfait

Les histoires de Trezor et Ledger montrent que les vulnérabilités peuvent être très différentes. Dans un cas, des chercheurs testent une puce au laser. Dans un autre, des escrocs envoient des e-mails, créent de faux sites web ou téléchargent une fausse application sur un store. Parfois, le problème se situe à l'intérieur de l'appareil, parfois dans les services qui l'entourent, et parfois dans la confiance de l'utilisateur envers une marque familière.

Il existe également d'autres portefeuilles matériels sur le marché, tels que les appareils de Coinkite, BitBox, Keystone ou Tangem. Certains se concentrent uniquement sur le Bitcoin, tandis que d'autres s'appuient sur des cartes, des codes QR, du code ouvert ou aucune connexion à un ordinateur. Mais aucune de ces approches ne supprime tous les risques à la fois. Plus l'appareil est complexe et son écosystème large, plus il y a d'endroits où un maillon faible peut apparaître.

Dans cette situation, le portefeuille crypto idéal devrait protéger non seulement les clés privées à l'intérieur de l'appareil. Il devrait montrer à l'utilisateur exactement ce qu'il signe, éviter de collecter des données personnelles inutiles, disposer d'un système de mise à jour clair, subir des audits indépendants et résister aux attaques physiques. Mais même cela ne suffit pas si le propriétaire saisit sa phrase de récupération sur un faux site web ou télécharge une fausse application.

C'est pourquoi la fiabilité d'un portefeuille ne peut être réduite à une marque ou à une puce. Ledger est plus fortement associé à la protection matérielle et à une puce protégée fermée. Trezor est associé à l'ouverture et à la vérifiabilité. D'autres fabricants proposent leurs propres compromis. En réalité, le portefeuille le plus sûr n'est pas celui dans lequel aucune vulnérabilité n'a jamais été trouvée, mais celui où les risques sont compris à l'avance, corrigés rapidement et ne transforment pas une erreur d'utilisateur en la perte de tous les fonds.