Ledger pas si sécurisé, attention Fail / vulnérabilité découverte.

in #fr7 years ago (edited)

Bonjour tout le monde, Vous avez peut-être déjà entendu parler des Ledger Wallet sinon il s’agit juste d’un portefeuille de crypto monnaies physique qui permet une plus grande sécurité de vos monnaies à l’aide d’une puce sécurisée, bien sûr c’est une explication brève. 

  

Mais il y a quelques jours une Fail a été découvert, comme vous le savez tous dans votre portefeuille vous avez 2 adresses :  

Une privée qui vous sert à dépenser vos monnaies et une publique qui elle vous sert à recevoir des fonds, généralement quand vous réceptionnez des fonds dans votre wallet celui-ci génère une adresse de réception pour chaque transaction.   

Et bien c’est de cette adresse qu’il s’agit, dans un document PDF on vous explique comment marche cette attaque.

Pour générer une adresse réception le ledger utilise un code en JavaScript s’exécutant sur la machine de l’hôte, il suffit juste donc de remplacer le code qui génère cette adresse par sa propre adresse donc l’adresse de réception affichée ne sera donc plus celle généré mais celle que l’attaquant aura mis dans le code.

Et il ne faut pas être callé en informatique pour y arriver puisque le dossier du wallet se trouve dans le dossier AppData sans demande de droit d’administration pour modifier les fichiers du wallet.

Donc un programme malveillant peut facilement accéder et modifier ces fichiers sans problème, avec seulement 10 lignes de code en Python il est possible de faire ça. Même le QR code est compromis puisque le QR code est généré à l’adresse de l’attaquant.

Dans ce document on vous prouve cette vulnérabilité avec seulement 3 manipulations :  

Ouvrez le fichier :  

C: \ Utilisateurs \% USERNAME% \ AppData \ Local \ Google \ Chrome \ Utilisateur Données \ Default \ Extensions \% EXTENSION_ID% \% EXTENSION_VERSION% \ src \ wallet \ wallet.js 

Remplacer la ligne :

return (_ref = this.wallet.cache) != null ? _ref.get(this.getCurrentPublicAddressPath()) : void 0; 

 Avec :  

return “MY_MALICIOUS_ADDRESS”; 

Et voilà quand vous recevrez des fonds, tous les fonds seront envoyés à MY_MALICIOUS_ADDRESS

Impressionnant en seulement 3 manips vous êtes capables de changer l’adresse de réception. 

L’équipe ayant découvert cette Fail a donc contacté le CEO et le CTO de Ledger dans le but de régler le problème. Étonnamment pendant 3 semaines ils ont été ignorés pour au final recevoir une réponse dans lequel Ledger répond qu’aucune correction ne sera faite. 

Sur twitter on peut voir quand même une sensibilisation de leur part.

Dans un premier tweet :

Il conseille de toujours vérifier votre adresse de réception sur l’écran de l’appareil en cliquant sur le « bouton du moniteur » joint avec une photo

Et un autre tweet posté aujourd’hui avec un petit texte :

En bref on vous explique qu’un portefeuille physique assure la protection de votre clé privée grâce à une isolation complète contre internet, elles ne sont jamais en ligne. Cependant ce n’est pas une protection contre toutes les attaques possibles et vous devez toujours vérifier et revérifier tout. Être votre propre banque demande de la discipline. L’utilisation d’un portefeuille physique ne vous rend pas invincible. Ne faites jamais confiance, vérifiez.

Voilà pour cet article, j’ai essayé de vous expliquer au mieux cette Fail sur les wallets Ledger.

Voici le lien du document en anglais : https://www.docdroid.net/Jug5LX3/ledger-receive-address-attack.pdf  

On se retrouve prochainement pour un nouvel article, n’hésitez pas à participer dans les commentaires et tester les manipulations si vous avez un Ledger.  

Sort:  

je ne suis pas posseseur de ledger , mais une tel pub n'est pas tres bonne, surtout apres la levée de fond qu'ils ont fait.

Oui c'est vrai, surtout qu'ils annoncent que les concurrents sont aussi victimes de ça alors que TREZOR a trouvé une "solution".

merci pour l'info, un ptit upvote cadeau :D

ça fait plaisir merci : )

J ai une ledger je vais donc faire attention lors des transferts de fond
Merci pour l info

Pas de soucis : )

Congratulations @azmog! You have completed some achievement on Steemit and have been rewarded with new badge(s) :

Award for the number of comments received

Click on any badge to view your own Board of Honor on SteemitBoard.
For more information about SteemitBoard, click here

If you no longer want to receive notifications, reply to this comment with the word STOP

By upvoting this notification, you can help all Steemit users. Learn how here!