Comment vérifier l'authenticité du portefeuille matériel avant utilisation

Inspection physique des emballages scellés

1. Les portefeuilles matériels authentiques sont expédiés dans un emballage inviolable comportant des sceaux holographiques, des logos en relief et des codes QR spécifiques au lot imprimés directement sur la boîte, et non des autocollants.

2. Les emballages contrefaits utilisent souvent du papier laminé brillant au lieu du carton au fini mat avec des ouvertures découpées avec précision et alignées sur des tolérances millimétriques.

3. Le numéro de série gravé sur l'appareil doit correspondre à celui imprimé sur la pochette extérieure, sur la carte intérieure et sur la feuille de récupération incluse. Toute différence invalide l'authenticité.

4. Le film rétractable original affiche une tension uniforme sans bulles, rides ou résidus adhésifs ; les fausses versions présentent souvent un thermoscellage inégal ou des lignes de colle visibles près des bords des coutures.

5. Les boîtes authentiques comprennent un sceau de garantie estampé avec un microtexte lisible uniquement sous un grossissement 10x, un détail systématiquement omis par les laboratoires de réplication.

Vérification du micrologiciel via des sources officielles

1. N'installez jamais de micrologiciel à partir de référentiels tiers ou de forks GitHub non vérifiés, même si le code semble identique à celui des référentiels publics.

2. Téléchargez le micrologiciel exclusivement à partir du domaine officiel du fabricant en utilisant HTTPS avec des certificats TLS valides émis par des autorités de certification de confiance comme DigiCert ou Sectigo.

3. Vérifiez les sommes de contrôle SHA-256 publiées sur les comptes de réseaux sociaux vérifiés de la marque ou sur le portail d'assistance avec le fichier binaire téléchargé.

4. Démarrez l'appareil en mode chargeur de démarrage et confirmez que la version du micrologiciel correspond à la dernière version signée répertoriée sur la page d'archive officielle du micrologiciel.

5. Observez le comportement du rendu de l'écran pendant la configuration : les appareils authentiques affichent les listes de mots BIP-39 avec l'épaisseur de police, l'espacement et la largeur des caractères exacts ; les clones déforment souvent les proportions des glyphes ou omettent les signes diacritiques.

Techniques de validation des éléments sécurisés

1. Les véritables portefeuilles matériels intègrent des éléments sécurisés certifiés tels que des puces STMicroelectronics ST33 ou Infineon SLB9670, identifiables via des codes de marquage de puce visibles sous un grossissement 20x.

2. Exécutez des tests de diagnostic via l'application de bureau officielle pour vérifier les réponses du coprocesseur cryptographique : les contrefaçons renvoient des chaînes d'erreur génériques ou échouent à la vérification de la signature sur des vecteurs de test connus.

3. Vérifiez les preuves physiques de l'encapsulation de la puce : les unités authentiques affichent une couverture de résine époxy transparente sur la puce de l'élément sécurisé, tandis que les contrefaçons exposent les liaisons filaires ou présentent une coloration de résine incohérente.

4. Confirmez la présence des marquages ​​de certification EAL5+ gravés au laser sur le PCB à proximité de l'élément sécurisé ; leur absence indique une architecture basée sur le silicium ou l'émulation non conforme.

5. Effectuez des vérifications de résistance des canaux latéraux à l'aide d'outils open source tels que ChipWhisperer ; les dispositifs authentiques suppriment les modèles de fuite électromagnétique lors des fluctuations de tension, tandis que les clones émettent des pics détectables corrélés aux opérations de clé privée.

Intégrité de la génération de phrases de récupération

1. Lors de la première configuration, observez si l'appareil génère le mnémonique de 24 mots entièrement hors ligne : aucune énumération USB, activation de l'interface réseau ou publicité Bluetooth ne devrait se produire.

2. Vérifiez que chaque mot est strictement conforme à la liste de mots anglais BIP-39, sans substitutions, fautes d'orthographe ou indices hors limites, défauts courants dans les clones de micrologiciels.

3. Confirmez l'adhésion au chemin de dérivation déterministe : les portefeuilles authentiques appliquent m/44'/0'/0' pour Bitcoin par défaut et rejettent les remplacements de chemin manuels à moins qu'ils ne soient explicitement activés via les paramètres avancés.

4. Testez la restauration de la phrase sur un appareil distinct et en bon état : si la graine importée ne parvient pas à récupérer les adresses attendues, l'unité d'origine a probablement utilisé des sources d'entropie non standard.

5. Inspectez le retour tactile lors de la saisie d'une phrase : les appareils authentiques nécessitent d'appuyer délibérément sur un bouton avec un délai anti-rebond > 300 ms ; les modèles contrefaits enregistrent souvent des doubles pressions rapides ou des entrées fantômes en raison d'un calibrage inférieur des commutateurs.

Analyse du comportement des interactions réseau

1. Lorsqu'ils sont connectés à un ordinateur, les portefeuilles matériels authentiques apparaissent comme des appareils de classe HID sans nécessiter de pilotes supplémentaires : les faux s'enregistrent souvent en tant que périphériques de stockage de masse ou composites CDC.

2. Surveillez les données du descripteur USB : les appareils légitimes signalent l'ID du fournisseur (VID) et l'ID du produit (PID) correspondant aux entrées du registre officiel ; les contrefaçons utilisent des identifiants recyclés ou usurpés.

3. Capturez le trafic USB lors de la signature des transactions : les unités authentiques transmettent uniquement des signatures cryptées et déterministes ; les clones fuient les valeurs r/s ECDSA brutes ou exposent des modèles de réutilisation occasionnels.

4. Observez la négociation de mise à jour du micrologiciel : les appareils réels lancent des négociations de canal sécurisé à l'aide de clés asymétriques intégrées dans la ROM ; les faux ignorent l'authentification ou acceptent des charges utiles non signées.

5. Vérifiez l'énumération inattendue des périphériques : les portefeuilles authentiques n'exposent jamais les interfaces de débogage UART, les broches JTAG ou les en-têtes SWD accessibles via les brochages USB-C standard ; les clones les exposent fréquemment pour le vidage du micrologiciel.

Foire aux questions

Q1 : Puis-je vérifier l’authenticité sans ouvrir le colis ? Oui. Utilisez une lumière UV pour inspecter les sceaux holographiques à la recherche de motifs d’encre fluorescente uniques à chaque lot de production. Scannez également le code QR sur la boîte avec l'application mobile officielle du fabricant : elle affichera la date de fabrication en temps réel, le code de l'usine et l'état anti-falsification.

Q2 : Que signifie un certificat d'élément sécurisé non valide ? Un certificat invalide indique soit une puce clonée, soit une attaque par injection de micrologiciel. Les appareils affichant « Certificat SE expiré » ou « Signature invalide » lors du démarrage ne peuvent pas être approuvés pour le stockage de la clé privée, même s'ils semblent fonctionnels.

Q3 : Pourquoi certains portefeuilles vérifiés affichent-ils des valeurs VID/PID différentes selon les régions ? Les fabricants attribuent des identifiants USB distincts selon la certification de conformité régionale : les unités marquées CE diffèrent de celles certifiées FCC. Comparez le VID/PID de votre appareil avec la base de données régionale officielle, et non avec les listes mondiales.

Q4 : Est-il sûr de tester des phrases de récupération sur des explorateurs de blockchain tiers ? Non. La saisie d’une partie d’une phrase de récupération (même un seul mot) dans des services externes compromet l’entropie. Validez toujours les phrases à l’aide d’outils de vérification isolés ou d’utilitaires hors ligne fournis par le fabricant.