Une nouvelle faille de sécurité dans le portefeuille ledger  pourrait vider vos Bitcoins

Une faille de sécurité récemment découverte sur le portefeuille Ledger pourrait éventuellement conduire au vol des fonds des utilisateurs. Au moment de la rédaction, Ledger n’a pas abordé ni divulgué le problème de sécurité, laissant ses millions d’utilisateurs dans une situation de risque important.

Le rapport

Selon un rapport publié aujourd’hui par Monokh, un pirate peut exploiter la vulnérabilité pour transférer des Bitcoins à partir d’un portefeuille Ledger. Dans le même temps, le propriétaire a l’impression qu’il fait des transactions avec des forks de Bitcoin telles que Litecoin, Bitcoin Cash, ou Testnet Bitcoins.

À l’origine, les utilisateurs de portefeuilles Ledger doivent installer une application correspondante pour chaque devise ou actif numerique qu’ils souhaitent détenir, et ces applications sont conçues pour être isolées.

En d’autres termes, seule une application peut être déverrouillée à la fois pour permettre à un utilisateur d’exécuter diverses fonctions telles que la signature de messages, l’exportation de clés publiques ou la confirmation d’une transaction. Toutes les applications verrouillées sont censées être intouchables par des messages externes.

La faille

Cependant, la vulnérabilité récemment découverte signifie que le « dispositif Ledger expose la clé publique et la fonctionnalité de signature de Bitcoin (mainnet) en dehors de l’application « Bitcoin«  ».

Par exemple, lorsqu’un utilisateur déverrouille l’application « Litecoin« , il « recevra une demande de confirmation pour un transfert de Bitcoin alors que l’interface le présente comme un transfert de Litecoin vers une adresse Litecoin ». L’acceptation de la confirmation produit une transaction Bitcoin (mainnet) signée et entièrement valide« .

Par défaut, le dispositif Ledger devrait empêcher l’exécution d’une erreur aussi flagrante puisque l’utilisateur n’avait pas l’intention d’envoyer des Bitcoins mais des Litecoins. Selon le même rapport, la même vulnérabilité s’applique lors de la transaction de l’un des forks de Bitcoin, et pourrait facilement être utilisée par des pirates pour voler des Bitcoins aux utilisateurs de portefeuilles Ledger.

Le rapport fait part de  la négligence de Ledger concernant le traitement de cette faille. Pour un problème d’une telle gravité, ne pas tenter de le résoudre, ne pas communiquer les progrès réalisés et éviter la divulgation, c’est manquer de respect envers la confiance que les gens  ont placée en eux.

Segla Antoine Shadrac
Me suivre