Des attaques favorisées dans le cas d'une chaîne d'approvisionnement douteuse

Une équipe de chercheurs de Kraken a démontré la sensibilité des wallets, Ledger Nano X, à des attaques dites de « Bad Ledger » et de « Blind Ledger ».

« Ces attaques touchent les portefeuilles manipulés avant que l'utilisateur ne reçoive le portefeuille, comme cela peut se produire dans le cas où il est intercepté pendant l'expédition ou acheté chez un revendeur malveillant », mentionne le rapport de Kraken

Grâce aux attaques de Bad Ledger, les pirates peuvent prendre le contrôle à distance d'un ordinateur portable connecté à un Ledger Nano X. Pour ce faire, ils modifient le protocole de dépannage du portefeuille pour le transformer en périphérique d'entrée.

De cette façon, les touches du Ledger peuvent se comporter comme celles d'un clavier d'ordinateur. La vidéo de démonstration réalisée par Kraken ci-dessous illustre parfaitement ce principe.

 

Pour ce qui est des « Blind Ledger », elles permettent aux hackers de manipuler l'affichage de l'écran d'un wallet. Cette manœuvre pourrait être utilisée pour inciter l'utilisateur à valider une transaction frauduleuse.

Si l'écran de son Ledger devient obscur, il peut par exemple apparaître sur son ordinateur « Votre Ledger Nano X a cessé de répondre, veuillez maintenir les deux boutons enfoncés pour redémarrer l'appareil ». La mise en pratique d'une telle recommandation entraînerait une perte de cryptoactifs.

👉 À lire sur le même sujet : Kraken : les wallets de Trezor piratables en 15 minutes d'accès physique

 

Legder confirme et prend des dispositions

Dans un bulletin de sécurité publié ce matin, Ledger a confirmé la véracité des publications de l'exchange. L'entreprise a réagi promptement par une mise à jour du microprogramme installé dans ces wallets.

« Une mise à jour du firmware, 1.2.4-2, a été publiée. Elle corrige la vulnérabilité en vérifiant l'intégrité de l'ensemble du MCU par le Secure Element à chaque démarrage [...] Nous remercions les chercheurs de Kraken Security Labs qui ont signalé les failles de sécurité » a publié Ledger sur son blog.

En réalité, ces défauts sont inhérents au fait que les ports du mécanisme de debugging soient ouverts dans le MCU du Ledger Nano X. Le MCU est l'élément chargé de la connexion entre le smartphone (ou l'ordinateur) et la micropuce présente sur les Ledger appelée Secure Element.

Toutefois, d'après Ledger, il ne s'agissait que d'une vulnérabilité mineure et aucun client n'a été touché.

👉 À lire sur le même sujet : Comment sécuriser et stocker ses crypto-monnaies ?

Newsletter 🍞
Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

Ce qu’il faut savoir sur les liens d’affiliation

Cette page présente des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article sont affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.

A propos de l'auteur : Junie Maffock

twitter-soothsayerdatatwitter-soothsayerdata

Avec un fort intérêt pour la blockchain et les cryptos, je souhaite contribuer à la vulgarisation de ces technologies. Je suis également très intriguée par les méthodes d'apprentissage ludiques et actives.
Tous les articles de Junie Maffock.

guest
0 Commentaires
Inline Feedbacks
View all comments