Kraken détecte des vulnérabilités sur les wallets Ledger Nano X
Une étude récente de Kraken Security Labs, la division sécurité de l'exchange Kraken, a mis en évidence des défauts qui rendent vulnérables les Nano X de Ledger. Heureusement, la société qui émet ces hardware wallets a pris des mesures avant qu'il n'y ait des victimes.
le 9 juillet 2020 à 16:34.
2 minutes de lecture
Des attaques favorisées dans le cas d'une chaîne d'approvisionnement douteuse
Une équipe de chercheurs de Kraken a démontré la sensibilité des wallets, Ledger Nano X, à des attaques dites de « Bad Ledger » et de « Blind Ledger ».
« Ces attaques touchent les portefeuilles manipulés avant que l'utilisateur ne reçoive le portefeuille, comme cela peut se produire dans le cas où il est intercepté pendant l'expédition ou acheté chez un revendeur malveillant », mentionne le rapport de Kraken
Grâce aux attaques de Bad Ledger, les pirates peuvent prendre le contrôle à distance d'un ordinateur portable connecté à un Ledger Nano X. Pour ce faire, ils modifient le protocole de dépannage du portefeuille pour le transformer en périphérique d'entrée.
De cette façon, les touches du Ledger peuvent se comporter comme celles d'un clavier d'ordinateur. La vidéo de démonstration réalisée par Kraken ci-dessous illustre parfaitement ce principe.
Pour ce qui est des « Blind Ledger », elles permettent aux hackers de manipuler l'affichage de l'écran d'un wallet. Cette manœuvre pourrait être utilisée pour inciter l'utilisateur à valider une transaction frauduleuse.
Si l'écran de son Ledger devient obscur, il peut par exemple apparaître sur son ordinateur « Votre Ledger Nano X a cessé de répondre, veuillez maintenir les deux boutons enfoncés pour redémarrer l'appareil ». La mise en pratique d'une telle recommandation entraînerait une perte de cryptoactifs.
? À lire sur le même sujet : Kraken : les wallets de Trezor piratables en 15 minutes d'accès physique
Achetez un wallet Ledger et recevez jusqu'à 100 $ en Bitcoin
Legder confirme et prend des dispositions
Dans un bulletin de sécurité publié ce matin, Ledger a confirmé la véracité des publications de l'exchange. L'entreprise a réagi promptement par une mise à jour du microprogramme installé dans ces wallets.
« Une mise à jour du firmware, 1.2.4-2, a été publiée. Elle corrige la vulnérabilité en vérifiant l'intégrité de l'ensemble du MCU par le Secure Element à chaque démarrage [...] Nous remercions les chercheurs de Kraken Security Labs qui ont signalé les failles de sécurité » a publié Ledger sur son blog.
En réalité, ces défauts sont inhérents au fait que les ports du mécanisme de debugging soient ouverts dans le MCU du Ledger Nano X. Le MCU est l'élément chargé de la connexion entre le smartphone (ou l'ordinateur) et la micropuce présente sur les Ledger appelée Secure Element.
Toutefois, d'après Ledger, il ne s'agissait que d'une vulnérabilité mineure et aucun client n'a été touché.
? À lire sur le même sujet : Comment sécuriser et stocker ses crypto-monnaies ?
La Newsletter crypto n°1 🍞
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains contenus ou liens dans cet article peuvent être de la publicité ou de l'affiliation. L'investissement dans les actifs numériques présente un risque de perte en capital totale ou partielle. Les performances passées ne préjugent pas des performances futures. N'investissez que ce que vous êtes prêts à perdre.
Avec un fort intérêt pour la blockchain et les cryptos, je souhaite contribuer à la vulgarisation de ces technologies. Je suis également très intriguée par les méthodes d'apprentissage ludiques et actives.
Junie Maffock
114 articles
