Kraken détecte des vulnérabilités sur les wallets Ledger Nano X

Une étude récente de Kraken Security Labs, la division sécurité de l'exchange Kraken, a mis en évidence des défauts qui rendent vulnérables les Nano X de Ledger. Heureusement, la société qui émet ces hardware wallets a pris des mesures avant qu'il n'y ait des victimes.

Kraken détecte des vulnérabilités sur les wallets Ledger Nano X

Des attaques favorisées dans le cas d'une chaîne d'approvisionnement douteuse

Une équipe de chercheurs de Kraken a démontré la sensibilité des wallets, Ledger Nano X, à des attaques dites de « Bad Ledger » et de « Blind Ledger ».

« Ces attaques touchent les portefeuilles manipulés avant que l'utilisateur ne reçoive le portefeuille, comme cela peut se produire dans le cas où il est intercepté pendant l'expédition ou acheté chez un revendeur malveillant », mentionne le rapport de Kraken

Grâce aux attaques de Bad Ledger, les pirates peuvent prendre le contrôle à distance d'un ordinateur portable connecté à un Ledger Nano X. Pour ce faire, ils modifient le protocole de dépannage du portefeuille pour le transformer en périphérique d'entrée.

De cette façon, les touches du Ledger peuvent se comporter comme celles d'un clavier d'ordinateur. La vidéo de démonstration réalisée par Kraken ci-dessous illustre parfaitement ce principe.

 

Pour ce qui est des « Blind Ledger », elles permettent aux hackers de manipuler l'affichage de l'écran d'un wallet. Cette manœuvre pourrait être utilisée pour inciter l'utilisateur à valider une transaction frauduleuse.

Si l'écran de son Ledger devient obscur, il peut par exemple apparaître sur son ordinateur « Votre Ledger Nano X a cessé de répondre, veuillez maintenir les deux boutons enfoncés pour redémarrer l'appareil ». La mise en pratique d'une telle recommandation entraînerait une perte de cryptoactifs.

👉 À lire sur le même sujet : Kraken : les wallets de Trezor piratables en 15 minutes d'accès physique

La licorne française des portefeuilles cryptos

Une expérience crypto complète, de l'achat à la sécurisation

toaster icon

 

Legder confirme et prend des dispositions

Dans un bulletin de sécurité publié ce matin, Ledger a confirmé la véracité des publications de l'exchange. L'entreprise a réagi promptement par une mise à jour du microprogramme installé dans ces wallets.

« Une mise à jour du firmware, 1.2.4-2, a été publiée. Elle corrige la vulnérabilité en vérifiant l'intégrité de l'ensemble du MCU par le Secure Element à chaque démarrage [...] Nous remercions les chercheurs de Kraken Security Labs qui ont signalé les failles de sécurité » a publié Ledger sur son blog.

En réalité, ces défauts sont inhérents au fait que les ports du mécanisme de debugging soient ouverts dans le MCU du Ledger Nano X. Le MCU est l'élément chargé de la connexion entre le smartphone (ou l'ordinateur) et la micropuce présente sur les Ledger appelée Secure Element.

Toutefois, d'après Ledger, il ne s'agissait que d'une vulnérabilité mineure et aucun client n'a été touché.

👉 À lire sur le même sujet : Comment sécuriser et stocker ses crypto-monnaies ?

[wd_hustle id="Newsletter" type="embedded"/]

Ce qu’il faut savoir sur les liens d’affiliation. Cette page présente des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article sont affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.


Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.

guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Achetez sur Binance

-10% de réduction sur les frais, avec le
code SVULQ98B 🔥 Et aussi -10% sur
Binance Futures avec le code cryptoast

Les articles les plus lus

Le ministère de l’Économie a demandé l'accès au solde de tous les comptes bancaires des Français

Le ministère de l’Économie a demandé l'accès au solde de tous les comptes bancaires des Français

Celsius : les clients n’auront pas besoin de rembourser leurs emprunts

Celsius : les clients n’auront pas besoin de rembourser leurs emprunts

La plus grande société de télécommunications européenne lance un service de staking Ethereum (ETH)

La plus grande société de télécommunications européenne lance un service de staking Ethereum (ETH)

Le Bitcoin (BTC) et l'Ether (ETH) toujours sous résistances – Enfin le mouvement que tout le monde attend ?

Le Bitcoin (BTC) et l'Ether (ETH) toujours sous résistances – Enfin le mouvement que tout le monde attend ?

Achetez sur Binance

-10% de réduction sur les frais, avec le
code SVULQ98B 🔥 Et aussi -10% sur
Binance Futures avec le code cryptoast