Hack sur Ledger Connect Kit : le PDG Pascal Gauthier apporte des détails

Après l’inquiétude de toute la finance décentralisée (DeFi) suite au code malveillant déployé dans le Ledger Connect Kit, Pascal Gauthier a pris la parole. Que faut-il retenir de cet évènement ?

le 15 décembre 2023 à 9:00.

3 minutes de lecture

author image

Vincent Maire

Hack sur Ledger Connect Kit : le PDG Pascal Gauthier apporte des détails

Pascal Gauthier s’exprime sur l’incident du Ledger Connect Kit

Hier, l’écosystème Web3 a brièvement été plongé dans l’inconnu, lorsque plusieurs applications décentralisées ont appelé à ne plus utiliser leurs services jusqu’à nouvel ordre en raison d’une faille sur le Ledger Connect Kit.

L’attaque aurait pu être dramatique de par la portée dont elle pouvait bénéficier. Malgré tout, les dégâts ont été limités à 610 000 dollars environ, selon l’enquêteur on-chain ZachXBT. Tandis que l’écosystème a rapidement réagi, Pascal Gauthier, PDG de Ledger, s’est exprimé publiquement après coup pour apporter des détails sur les évènements.

Il explique ainsi que cette faille a été introduite suite à une attaque de phishing auprès d’un ancien employé. Cela a permis d’introduire du code malveillant au sein d'un « gestionnaire de packages pour le code JavaScript partagé entre les applications » (NPMJS).

Cette intrusion a ainsi affecté les versions 1.1.5 à 1.1.7 de Ledger Connect Kit, au travers d’une version frauduleuse de WalletConnect, redirigeant les fonds des victimes vers le portefeuille du hacker.

👉 Pour aller plus loin — Découvrez les bonnes pratiques pour limiter le risque de hack

Pascal Gauthier souligne alors la réactivité de ses équipes après la découverte de la situation :

« Les équipes de sécurité de Ledger ont été alertées, et une correction a été déployée dans les 40 minutes suivant la prise de conscience par Ledger. Le fichier malveillant était actif pendant environ 5 heures, mais nous pensons que la fenêtre pendant laquelle les fonds ont été détournés était limitée à moins de 2 heures. Ledger a collaboré avec WalletConnect, qui a rapidement désactivé le projet frauduleux. »

Formez-vous avec Alyra pour intégrer l'écosystème blockchain

Les mesures prises et les leçons tirées

Pascal Gauthier explique que dans 99 % des cas, une personne seule ne peut déployer de nouveau code sans que celui-ci soit examiné par différents acteurs. En outre, un employé quittant l’entreprise voit ses accès retirés à tous les systèmes Ledger. Il explique ainsi que cet épisode permettra de tirer des leçons :

« Cet incident, malheureux et isolé, souligne que la sécurité est en constante évolution, nécessitant une amélioration continue de nos systèmes. Dans ce contexte, Ledger mettra en place des contrôles de sécurité renforcés, liant notre chaîne de construction qui applique une sécurité stricte de la chaîne d’approvisionnement au canal de distribution NPM. »

Maintenant que tous les correctifs nécessaires ont été apportés, les développeurs d’applications sont invités à utiliser la version 1.1.8 du Ledger Connect Kit, exempte de code frauduleux. Du côté de l’entreprise, les secrets permettant la publication de code sur le GitHub de Ledger ont été changés.

D’autre part, Tether a gelé les USDT impliqués dans le hack, l’adresse du hacker est visible sur Chainalysis, tandis que Ledger collabore maintenant avec les autorités afin de retrouver le ou les coupables.

Pascal Gauthier a aussi souligné le besoin pour l’industrie de relever ses normes de sécurité, expliquant que si c’est sa société qui a été ciblée cette fois-ci, « cela pourrait se produire à l’avenir avec un autre service ou bibliothèque ».

👉 Dans l’actualité également — Le développeur Luke Dashjr a-t-il enregistré les Ordinals en tant que « vulnérabilité » pour la cybersécurité des États-Unis ?

Malgré le danger que représentait cet incident pour la finance décentralisée (DeFi) tout entière, il est rassurant de voir à quel point l’écosystème a réagi rapidement pour contenir l’incendie.

Cryptoast Research : Ne gâchez pas ce bull run, entourez vous d'experts

Source : Ledger

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌

Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.


Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.


Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.


Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.

author profile picture

Je découvre timidement le monde de la blockchain fin 2018 lors de ma quête de liberté financière. D'abord investi modérément, ce n'est que deux ans plus tard que je prends le pari de tout miser sur le mouvement qui se dessine alors. Je consacre ensuite 2021 à mieux me former pour acquérir plus de connaissances et de sérieux. Comme j'aime souvent le dire : j'ai encore un milliard de choses à apprendre. Et ce que je sais, je souhaite le partager avec vous.

Vincent Maire

1164 articles

Tous ses articles

Subscribe
Me notifier des
guest
3 Commentaires
Inline Feedbacks
View all comments
letho

Bonjour est ce qu'il va rembourser les gens lésés ??? l’article ne le précise pas, c'est pourtant lune des actions majeurs qu'un fournisseur se doit d'accomplir auprès de ses clients afin de conserver leur confiance ....

Répondre
Maximilien Prué

Bonjour, Pascal Gauthier, le PDG de Ledger, a indiqué sur Twitter que « Ledger consacrera autant de ressources internes et externes que possible pour aider les personnes concernées à récupérer leurs avoirs. »

Répondre
Veeger

il fallait simplement repondre non a la question . tout le reste c est du tralala

Répondre

D'autres articles sur Ledger

Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

Limitation des paiements en espèces, restriction des cryptomonnaies anonymes... Que prévoit la nouvelle réglementation européenne AML ?

Limitation des paiements en espèces, restriction des cryptomonnaies anonymes... Que prévoit la nouvelle réglementation européenne AML ?

 1 satoshi très rare vendu aux enchères pour 2,1 millions de dollars

1 satoshi très rare vendu aux enchères pour 2,1 millions de dollars

 Hedera (HBAR) : le token explose de 96 % suite à une annonce impliquant BlackRock

Hedera (HBAR) : le token explose de 96 % suite à une annonce impliquant BlackRock

 France : Kucoin a été discrètement ajouté à la liste noire de l'Autorité des marchés financiers (AMF)

France : Kucoin a été discrètement ajouté à la liste noire de l'Autorité des marchés financiers (AMF)