Kraken détecte des vulnérabilités sur les wallets Ledger Nano X
Une étude récente de Kraken Security Labs, la division sécurité de l'exchange Kraken, a mis en évidence des défauts qui rendent vulnérables les Nano X de Ledger. Heureusement, la société qui émet ces hardware wallets a pris des mesures avant qu'il n'y ait des victimes.
Des attaques favorisées dans le cas d'une chaîne d'approvisionnement douteuse
Une équipe de chercheurs de Kraken a démontré la sensibilité des wallets, Ledger Nano X, à des attaques dites de « Bad Ledger » et de « Blind Ledger ».
« Ces attaques touchent les portefeuilles manipulés avant que l'utilisateur ne reçoive le portefeuille, comme cela peut se produire dans le cas où il est intercepté pendant l'expédition ou acheté chez un revendeur malveillant », mentionne le rapport de Kraken
Grâce aux attaques de Bad Ledger, les pirates peuvent prendre le contrôle à distance d'un ordinateur portable connecté à un Ledger Nano X. Pour ce faire, ils modifient le protocole de dépannage du portefeuille pour le transformer en périphérique d'entrée.
De cette façon, les touches du Ledger peuvent se comporter comme celles d'un clavier d'ordinateur. La vidéo de démonstration réalisée par Kraken ci-dessous illustre parfaitement ce principe.
Pour ce qui est des « Blind Ledger », elles permettent aux hackers de manipuler l'affichage de l'écran d'un wallet. Cette manœuvre pourrait être utilisée pour inciter l'utilisateur à valider une transaction frauduleuse.
Si l'écran de son Ledger devient obscur, il peut par exemple apparaître sur son ordinateur « Votre Ledger Nano X a cessé de répondre, veuillez maintenir les deux boutons enfoncés pour redémarrer l'appareil ». La mise en pratique d'une telle recommandation entraînerait une perte de cryptoactifs.
? À lire sur le même sujet : Kraken : les wallets de Trezor piratables en 15 minutes d'accès physique
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒
Legder confirme et prend des dispositions
Dans un bulletin de sécurité publié ce matin, Ledger a confirmé la véracité des publications de l'exchange. L'entreprise a réagi promptement par une mise à jour du microprogramme installé dans ces wallets.
« Une mise à jour du firmware, 1.2.4-2, a été publiée. Elle corrige la vulnérabilité en vérifiant l'intégrité de l'ensemble du MCU par le Secure Element à chaque démarrage [...] Nous remercions les chercheurs de Kraken Security Labs qui ont signalé les failles de sécurité » a publié Ledger sur son blog.
En réalité, ces défauts sont inhérents au fait que les ports du mécanisme de debugging soient ouverts dans le MCU du Ledger Nano X. Le MCU est l'élément chargé de la connexion entre le smartphone (ou l'ordinateur) et la micropuce présente sur les Ledger appelée Secure Element.
Toutefois, d'après Ledger, il ne s'agissait que d'une vulnérabilité mineure et aucun client n'a été touché.
? À lire sur le même sujet : Comment sécuriser et stocker ses crypto-monnaies ?
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital