Un chercheur découvre une faille importante dans la technologie de Ledger
Un chercheur nommé Monokh a détecté une vulnérabilité dans les portefeuilles de stockage de Ledger. La société française a prévu de corriger l'application Bitcoin dans la journée.
le 5 août 2020 à 13:56.
2 minutes de lecture
Une nouvelle faille détectée chez Ledger
Le chercheur en sécurité Monokh a découvert une vulnérabilité dans le matériel conçu par l'entreprise française Ledger. Elle pourrait permettre à un pirate de dérober du Bitcoin (BTC) lors du transfert d'une cryptomonnaie issu d'un fork du BTC tel que Bitcoin Cash (BCH) et Litecoin (LTC).
Les Ledger Nano S et Nano X sont des portefeuilles avec une « détermination hiérarchique ». Cette spécificité garantit que le portefeuille ne peut pas utiliser la clé secrète d'une autre cryptomonnaie pour valider une transaction.
D'un point de vue technique, le portefeuille du Zcoin par exemple ne peut pas dériver de clés pour signer une transaction d'une autre cryptomonnaie puisque le chemin de dérivation n'est pas le même.
Cette restriction de chemin n'a pas été appliquée pour le portefeuille Bitcoin et la plupart de ses dérivés. Cela pourrait permettre à un dérivé de Bitcoin (par exemple Litecoin) de signer des transactions en BTC.
La faille touche donc la partie logiciel des portefeuilles de Ledger, une mise à jour suffira à résoudre le problème. La partie matérielle de votre Ledger n'est donc pas affectée.
? À lire sur le même sujet : Kraken détecte des vulnérabilités sur les wallets Ledger Nano X
Imbroglio sur la réponse de Ledger
Le chercheur a détecté cette faille dans le cadre d’un programme de détection de bugs lancé par Ledger. Ce dernier a ensuite alerté l'entreprise française sur une potentielle vulnérabilité.
Après avoir discuté avec @Ledger :
? Mise à jour de l'app BTC dans la journée (déjà dispo pour Nano S)
? La mésentente vient du process choisi par Monokh pour contacter Ledger : ici DM Twitter plutôt qu'un e-mail au programme Bounty : [email protected]
— Grégory Raymond (@gregory_raymond) August 5, 2020
L'entreprise n'aurait pas tout de suite pris en compte la découverte du chercheur. Toutefois, Grégory Raymond a vite recueilli la déclaration de Ledger :
« (...) Notre point de vue sur la chronologie diffère, et nous sommes sincèrement désolés pour la mauvaise communication. Il est important de noter que nous n'omettrons jamais la découverte faite par un chercheur en sécurité pour améliorer nos produits. »
Ledger a également confirmé la mise à jour du portefeuille Bitcoin dans la journée pour rectifier cette potentielle faille.
L'entreprise connaît une actualité mouvementée. Fin juillet, Legder avait annoncé le piratage de sa base de données client compromettant plus d'un million d'e-mails. Malgré l'agitation, Ledger fait face en démontrant une forte transparence dans sa communication et une capacité de réaction rapide.
? À lire sur le même sujet : Un hacker prétend détenir les bases de données de Ledger et de Trezor
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Engagé dans l’écosystème crypto depuis 2017. Je m’intéresse particulièrement aux tokens non fongibles (NFTs) et à la finance décentralisée (DeFi).
Florent D
397 articles
Comment gagner l'argent rapidement svp aidez moi