Que Ledger n’a-t-il pas fait en se dotant d’une fonction « Mot de passe oublié ? » La start-up française, leader mondial des portefeuilles physiques de cryptomonnaies (une sorte de clé USB protégée), a provoqué l’ire d’une partie de la cryptosphère en leur proposant de récupérer leur phrase secrète en cas de perte. Son alter ego américain MetaMask, taxé d’ouvrir la porte à la collecte d’impôts sur les cryptos, a lui aussi mis à cran le secteur. Nouvelle crise ?

Ledger d’abord. La start-up, valorisée 1,3 milliard d’euros , commercialise des portefeuilles de cryptos physiques vus comme les plus sécurisés. Dessus est stockée la clé privée donnant accès aux cryptos. Pour y accéder, l’utilisateur doit mémoriser un super mot de passe, soit une phrase de 24 mots. Aussi technologique que ce soit, il y a un côté archaïque à au moins deux titres : Ledger s’apparente à un bas de laine numérique, et on recommande souvent d’écrire la phrase… sur un bout de papier.

Une clé Ledger détruite et incendiée
En cas de perte de la clé USB ou de son sésame, personne ne pourra vous aider à retrouver vos fonds, même s’il s’agit d’un magot de millions de dollars en bitcoin… Stefan Thomas , cet Allemand qui a oublié le mot de passe de son disque dur où l’attendent 200 millions de dollars, en sait quelque chose. Pour pallier ce problème, Ledger a donc lancé, à la mi-mai, Recover, un service devant permettre de retrouver sa phrase secrète.
Pour le Twittos « OKLAHODL », qui s’est filmé détruisant sa clé Ledger au marteau pour la brûler ensuite au chalumeau – ne manquant pas de faire le buzz -, l’entreprise française l’a trompé, en introduisant ce qu’il qualifie de « porte dérobée ». Pour lui, si Ledger peut restituer une clé perdue, c’est qu’il y a accès ; l’entreprise s’en défend. En somme, il rompt la promesse chère aux cryptofans du « not your keys, not your coins » (« pas votre clé, pas votre monnaie »). En réalité, la clé est découpée en trois bouts répartis avec deux sociétés, Coincover et EscrowTech. Pour certains, c’est encore pire.

Piratage et crise de confiance
Mais, explique, Ledger, la reconstruction de la phrase a lieu sur la clé USB et, sauf collusion entre ces trois acteurs, il est impossible de mettre la main dessus. La start-up demande donc qu’on lui fasse confiance. Seulement voilà, tous n’ont pas oublié le piratage de Ledger en 2020, quand les données personnelles de 273.000 clients ont fuité sur internet. Donc pour certains internautes, lier phrase secrète et identité de son porteur ouvre, forcément, une faille. Plus embêtant, Ledger a tweeté que « techniquement parlant, il a toujours été possible de créer un micrologiciel qui facilite l’extraction de clés » sur ses portefeuilles, mais a supprimé le tweet.
Pourtant, ce Ledger Recover est optionnel. Ceux qui veulent conserver leur phrase sur un bout de papier – et courir un risque plus grand de perdre leurs cryptos – en ont le choix. Le français a lancé cette offre pour au moins trois raisons : offrir une solution devant éviter la perte de ses fonds, s’ouvrir à un public plus large, maintenant que la start-up a déjà touché les initiés, et générer des revenus récurrents – Recover coûte 10 euros par mois – en plus de la vente de matériel.

Ménager la chèvre et le chou
« Pour rendre l’autoconservation accessible à tous, nous devons développer des produits innovants qui maintiennent la sécurité tout en résolvant des obstacles concrets pour les utilisateurs », fait valoir sur Twitter Charles Guillemet, directeur technique de Ledger.
Pour Stanislas Barthelemi, manager Cryptos et Web3 chez KPMG France, « le fait est surtout que Ledger a raté sa communication, en annonçant ça comme un cheveu sur la soupe, ce qui a pu ternir un peu son image ». Cela montre aussi à quel point les acteurs des cryptos en quête de croissance « sont entre deux eaux : d’un côté la clientèle historique adepte de décentralisation mais de l’autre, une clientèle à conquérir en demande de plus de facilité d’usage et de garanties », entrevoit l’expert.

MetaMask dans le viseur aussi
MetaMask peut en dire autant. Le portefeuille de l’américain ConsenSys (largement financé par Microsoft) édite une extension pour navigateur – et ne vend pas de clé USB comme le français. Il est surtout utilisé pour les NFT. A la suite d’une mise à jour récente, il a laissé entendre qu’il « se réserve le droit de retenir les taxes si nécessaire », provoquant, là encore, un tollé 3.0. En novembre 2022, il faut dire qu’il avait déjà échaudé ses utilisateurs en annonçant collecter leur adresse IP.
Si le cas Ledger est optionnel, celui de MetaMask relève d’une confusion . Quand certains y ont vu un prélèvement à la source à venir de l’administration fiscale directement dans la petite application, la mention légale concernait, en fait, d’autres produits édités par ConsenSys. Qui utilisent, eux, des paiements par carte bancaire. Pour Stanislas Barthelemi, « tout cela a été monté en épingle de façon irrationnelle ».
Mais alors que le business des cryptos n’est pas toujours clair , il reste à comprendre pourquoi certains s’émeuvent autant dès que l’on touche même de loin à leur confidentialité. Ont-ils vraiment tous, chevillée au corps, la vision d’un web post-GAFA plus protecteur de la vie privée ? Ou mieux vaut-il ne pas regarder ce qui se cache dans leur armoire ?

Clés de compréhension
La conservation des cryptomonnaies est un vrai roman à clés, dans lequel le jargon technique représente quelque chose de bien connu. Le portefeuille numérique ou physique (« wallet », comme MetaMask, ou « hardware wallet », pour Ledger), peut être comparé à une boîte aux lettres. Dedans, on y met des cryptos et des NFT protégés par deux clés : une clé publique (l’adresse postale), et une privée (la clé de la boîte aux lettres). La phrase secrète de 24 mots sert d’empreinte de la clé privée, pour en faire un duplicata.

Lire l’article complet sur : www.lesechos.fr