Considéré comme ultra-sécurisé, les portefeuilles Ledger ont dû faire face à un cas inédit dans la journée d’hier. Et pour cause, une faille critique a été découverte, mettant en péril les cryptomonnaies des utilisateurs.
Une faille de sécurité bouscule Ledger
Ledger, acteur clé dans l'univers des cryptomonnaies, a récemment été confronté à une faille de sécurité majeure. C'est ce jeudi 14 décembre que Ledger a fait face à une situation alarmante. En début de matinée, une version malveillante du Ledger Connect Kit, le logiciel servant de pont entre les portefeuilles Ledger et les applications décentralisées (dApps), a été identifiée.
Précisément, la faille ne venait pas directement de Ledger mais d’une version tronquée de Connect Kit largement diffusée par les pirates informatiques. En interagissant avec ce programme malveillant, certains utilisateurs ont visiblement permis aux hackers de s’emparer de leurs fonds disponibles sur leur clé crypto Ledger. Ledger a finalement réagi promptement en supprimant la version compromise et en la remplaçant par une mise à jour sécurisée. Vers 14h35, Ledger a annoncé avoir supprimé cette version compromise, la remplaçant par une version sécurisée.
« Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. Une version authentique est en train d’être poussée pour remplacer le fichier malveillant maintenant. N’interagissez pas avec les dApps pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation », a indiqué l’entreprise Ledger sur son compte X sous le coup des 14:58.
Update:
— Ledger (@Ledger) December 14, 2023
The malicious version of the file was replaced with the genuine version at around 2:35pm CET.
The new genuine version should be propagated soon.
We will provide a comprehensive report as soon as it’s ready.
In the meantime, we’d like to remind the community to…
La réputation du géant Ledger entaché par ce fâcheux épisode
Active pendant environ cinq heures, la faille a eu le temps de causer pas mal de dégâts. Pour le moment, aucun chiffre officiel concernant le nombre de wallets affectés et les pertes n’a été dévoilé. Mais selon ArkhamIntel, plus de 500 000 dollars auraient été volés dans la journée d’hier. D’ailleurs, la société spécialisée dans la cybersécurité sur la blockchain a annoncé le lancement d’une prime pour quiconque pouvant identifier de potentiels suspects de piratage :
« Nous avons créé et financé une prime pour aider à identifier la personne ou l'organisation à l'origine de l'exploitation de la faille Ledger Library Drainer. La bibliothèque Connect Kit de Ledger a été compromise par un exploiteur lié à Angel Drainer, entraînant une perte de fonds de plus de 500 000 $ le 14 décembre 2023. Plusieurs DApp utilisant la bibliothèque Ledger ont été affectées. Cette prime récompensera : Les Informations révélant l'identité d'Angel Drainer ou du client spécifique d'Angel Drainer dans cet incident (0x658729879fCa881D9526480B82aE00EFc54B5c2d) ; toute information conduisant au retour réussi des fonds ; tout dépôt KYC Exchange utilisé par le client Angel Drainer après l'incident » a indiqué l’entreprise Arkham sur X.
New Intel Exchange Bounty: Ledger Library Drainer Exploit
— Arkham (@ArkhamIntel) December 14, 2023
We've created and funded a bounty to help identify the person or organization behind the recent Ledger Library Drainer Exploit.
Ledger's Connect Kit library was compromised by an exploiter tied to Angel Drainer resulting… https://t.co/05Vvdl8ZSw pic.twitter.com/5M9BtdeZSE
Si la casse a été limitée, cette faille n’en demeure pas moins un coup dur pour l’entreprise, qui se serait volontiers passée de cet épisode. Et pour cause, Ledger est une entreprise française reconnue pour ses portefeuilles crypto ultra-sécurisés depuis 2014. Conçus pour stocker et interagir avec ses cryptomonnaies, les portefeuilles Ledger sont parmi les plus fiables du marché.
Baptisés Cold Wallet, ces dispositifs sont similaires à des clés USB. En théorie, ils ont cette capacité à sécuriser les clés privées hors ligne, offrant ainsi une protection contre les attaques en ligne. Mais si cette solution réduit considérablement les risques d’attaques, elle n’est pas sans failles… Lorsque le wallet interagit avec un protocole non-sécurisé en ligne, cela peut quand même mettre en péril les cryptomonnaies – et c’est précisément ce qu’il s’est passé avec la corruption du programme Ledger Connect Kit.
Mise à jour du 20 décembre :
Moins d’une semaine après cet incident l’entreprise Ledger a annoncé qu’elle rembourserait les victimes de ce piratage.
« Nous sommes conscients que des actifs d'environ 600 000 $ ont été affectés, volés à des utilisateurs effectuant des signatures à l'aveugle sur des DApps EVM. (…) Nous confirmons l'engagement de notre PDG et Président à indemniser les victimes dont les actifs ont été dérobés le 14 décembre 2023 par l'attaquant, en collaboration avec angel drainer, y compris les utilisateurs qui ne sont pas clients de Ledger. Nous nous engageons, par tous les moyens possibles, y compris par des gestes de bonne volonté, à réaliser cette indemnisation d'ici la fin de février 2024. Nous sommes déjà en contact avec de nombreux utilisateurs affectés et travaillons activement sur les détails avec eux. »
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
— Ledger (@Ledger) December 20, 2023
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…