Une nouvelle faille détectée chez Ledger

Le chercheur en sécurité Monokh a découvert une vulnérabilité dans le matériel conçu par l'entreprise française Ledger. Elle pourrait permettre à un pirate de dérober du Bitcoin (BTC) lors du transfert d'une cryptomonnaie issu d'un fork du BTC tel que Bitcoin Cash (BCH) et Litecoin (LTC).

Les Ledger Nano S et Nano X sont des portefeuilles avec une « détermination hiérarchique ». Cette spécificité garantit que le portefeuille ne peut pas utiliser la clé secrète d'une autre cryptomonnaie pour valider une transaction.

D'un point de vue technique, le portefeuille du Zcoin par exemple ne peut pas dériver de clés pour signer une transaction d'une autre cryptomonnaie puisque le chemin de dérivation n'est pas le même.

Cette restriction de chemin n'a pas été appliquée pour le portefeuille Bitcoin et la plupart de ses dérivés. Cela pourrait permettre à un dérivé de Bitcoin (par exemple Litecoin) de signer des transactions en BTC.

La faille touche donc la partie logiciel des portefeuilles de Ledger, une mise à jour suffira à résoudre le problème. La partie matérielle de votre Ledger n'est donc pas affectée.

👉 À lire sur le même sujet : Kraken détecte des vulnérabilités sur les wallets Ledger Nano X

 

Imbroglio sur la réponse de Ledger

Le chercheur a détecté cette faille dans le cadre d’un programme de détection de bugs lancé par Ledger. Ce dernier a ensuite alerté l'entreprise française sur une potentielle vulnérabilité.

L'entreprise n'aurait pas tout de suite pris en compte la découverte du chercheur. Toutefois, Grégory Raymond a vite recueilli la déclaration de Ledger :

« (...) Notre point de vue sur la chronologie diffère, et nous sommes sincèrement désolés pour la mauvaise communication. Il est important de noter que nous n'omettrons jamais la découverte faite par un chercheur en sécurité pour améliorer nos produits. »

Ledger a également confirmé la mise à jour du portefeuille Bitcoin dans la journée pour rectifier cette potentielle faille.

L'entreprise connaît une actualité mouvementée. Fin juillet, Legder avait annoncé le piratage de sa base de données client compromettant plus d'un million d'e-mails. Malgré l'agitation, Ledger fait face en démontrant une forte transparence dans sa communication et une capacité de réaction rapide.

👉 À lire sur le même sujet : Un hacker prétend détenir les bases de données de Ledger et de Trezor

Newsletter 🍞
Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Florent David

twitter-soothsayerdata

J'ai commencé à découvrir les bases de la technologie blockchain et Bitcoin avec la publication de Satoshi Nakamoto : A Peer-to-Peer Electronic Cash System. L'aspect disruptif et controversé du sujet m'a rapidement passionné !
Tous les articles de Florent David.

guest
0 Commentaires
Inline Feedbacks
View all comments