Ledger : une nouvelle Faille de Sécurité met en Danger vos Bitcoins (BTC) !

Faille de sécurité chez Ledger pour vos bitcoins

Nouveau coup dur pour l’entreprise française Ledger. En effet, après un hack de certaines données personnelles la semaine dernière, une nouvelle faille de sécurité fait son apparition. Et celle-ci est plus importante encore, puisque nous parlons ici d’une possibilité de vol de Bitcoins (BTC) ! Dans cet article, nous allons voir dans les détails en quoi consiste cette faille, et les recommandations pour votre sécurité.


Découverte de la faille par Monokh

Dans un long article de blog, Monokh explique et détaille la faille de sécurité dont souffre les appareils Ledger. Il semblerait que tous les produits de la firme de cybersécurité française soient concernés.

En effet, la faille touche au firmware (logiciel) et non pas au hardware (matériel). La bonne nouvelle, c’est qu’une mise à jour du logiciel par Ledger est donc possible, et la faille peut être corrigée pour tous. Ne jetez donc pas votre Ledger par la fenêtre !

Fonctionnement attendu

Avant de décrire la faille, petit rappel de comment fonctionne votre Ledger.

Lorsque vous souhaitez utiliser une crypto sur votre Ledger, vous devez installer l’application correspondante. Il y a donc une app Bitcoin, une app Litecoin, une app Dash, etc.

Les applications sont censées être isolées les unes des autres. Ainsi, lorsque vous souhaitez faire un transfert d’une de vos cryptos, seule l’application correspondante est déverrouillée. En étant déverrouillée, elle peut :

  • Exporter les clés publiques ;
  • Signer des messages ;
  • Confirmer des transactions.
Applications ledger

Ainsi, si vous manipulez des Ethereum (ETH), seule l’application Ethereum est déverrouillée. Vous êtes alors capable d’en envoyer, mais en aucun cas vous ne pourrez confirmer une transaction Bitcoin en même temps par exemple.

Explication de la faille

Cette faille permet pour les applications Bitcoin et forks de Bitcoin d’être déverrouillées en même temps. Et donc d’intéragir avec l’app Bitcoin alors que c’est l’app Litecoin que nous voulions utiliser par exemple.

La faille a donc deux conséquences :

  • Divulgation de votre Bitcoin XPUB (toutes les adresses publiques Bitcoin de votre Ledger), et donc, du montant de vos fonds ;
  • Envoyer des transactions Bitcoin qui apparaîtront comme des transactions altcoins à l’utilisateur.

Ainsi, Monokh a réussi à camoufler une demande de transaction Bitcoin en une demande de transaction Litecoin. L’utilisateur ouvre donc son app Litecoin, confirme la transaction, pensant envoyer des LTC, et se retrouve à envoyer des bitcoins contre son gré.

Sourde oreille de la part de Ledger

Monokh indique dans son article de blog avoir prévenu Ledger depuis plusieurs mois à propos de cette faille.

Extrait de l'article de blog de Monokh sur la faille Ledger
Extrait de l’article de blog de Monokh sur la faille Ledger

Malgré les avertissements et relances, Ledger n’aurait pas agi en conséquence. C’est pourquoi Monokh a choisi de rendre la faille publique le lundi 3 août au travers de son article.

Disclaimer : Ledger ne s’est pas encore exprimé sur l’affaire. Nous n’avons donc que la version de Monokh pour la partie communication et actions sur la faille.

Réponse de Ledger

L’équipe cybersécurité de Ledger, Ledger Donjon, a répondu un jour plus tard (le mardi 4 août) au travers d’un article.

Dans ce dernier, Ledger explique à nouveau la faille, en rentrant dans les détails techniques du pourquoi et du comment.

Pub

Cryptoassets are highly volatile unregulated investment products. No EU investor protection. Your capital is at risk.

Ainsi, on y apprend que c’est le chemin de dérivation des cryptos qui vient compromettre l’étanchéité des différentes applications.

De plus, l’entreprise explique être face à un choix complexe entre s’assurer de la sécurité des utilisateurs et l’utilisation de leurs Ledgers. En effet, cette faille ne peut être corrigée sans “casser” certaines choses.

Ainsi, Ledger explique que changer le comportement actuel des apps pourraient entraîner :

  • Une incompatibilité avec les autres wallets ;
  • Une impossibilité d’utiliser des forks de Bitcoin.

C’est pourquoi ils ont décidé de ne pas corriger la faille immédiatement. Pour le moment, un message d’avertissement apparaît si vous êtes sur le point de confirmer une transaction qui semble anormale.

De plus, leur article sera mis à jour au moment où une nouvelle version de l’app Bitcoin sera publiée (devant résoudre définitivement la faille).

Un problème pas si nouveau ?

Malgré les accusations de Monokh concernant le silence de Ledger, il semblerait que ce problème était déjà connu depuis plusieurs mois/années. La “non-correction” proviendrait de la balance entre utilisation et sécurité comme indiqué dans le paragraphe précédent.

Les cas d’attaques possibles existent, mais ne sont pas si simples à mettre en place. De plus, le message en cas de transaction louche permet d’avertir les utilisateurs.

Lors de la rédaction de cet article, j’ai pu échanger avec FX Thoorens, fondateur de la cryptomonnaie ARK. Il m’expliquait alors avoir été mis au courant par Ledger de ce problème en 2017/2018 alors que son équipe développait l’app ARK pour la fameuse clé de sécurité.

FX Thoorens sur la faille Ledger

Il est aussi bon de noter que cette faille n’est pas que présente chez Ledger. En effet, c’est un problème lié “à l’industrie et aux early forks” comme a répondu l’entreprise sur Twitter durant la journée.

Recommandations de sécurité

Alors au final, est-ce que votre Ledger et vos fonds sont en dangers ? Non. Pas directement. Prenez simplement des précautions lorsque vous envoyez vos fonds provenant de fork Bitcoin vers l’extérieur. Vérifiez simplement que vous êtes bien sur une plateforme de confiance en soi !

Mais pour toutes les autres cryptos, la faille n’a aucun impact, pas de soucis. De plus, cette faille ne peut avoir lieu que lors de l’envoi. Le stockage n’est en aucun cas compromis, vous pouvez laisser vos cryptos et bitcoins dormir sur votre clé sans le moindre problème.

Si jamais, malgré tout, vous souhaitez une solution viable pour votre sécurité avant que Ledger fasse une mise à jour (qui devrait arriver prochainement), FX Thoorens vous en fournit une (mais pas gratuite) :

Solution proposée par FX Thoorens pour la sécurité de vos cryptos

Ainsi, en ayant plusieurs Ledgers avec des passphrases différentes, vous rendez à nouveau étanches vos différentes applications. Une solution un peu radicale, mais qui fonctionne !

Pub

Cryptoassets are highly volatile unregulated investment products. No EU investor protection. Your capital is at risk.

Le problème, ici, vient d’un manque de communication de Ledger à ce propos auprès du grand public. Probablement pour éviter des peurs inutiles. Mais, du coup, cela a permis à l’article de Monokh d’avoir l’effet d’une bombe. En effet, la possibilité de faire passer une transaction Bitcoin pour une transaction d’un altcoin est un tour de passe-passe non négligeable. Si vous détenez une clé Ledger, c’est que vous tenez à la sécurité de vos cryptomonnaies. C’est pourquoi ce genre de faille peut faire mal à la réputation de l’entreprise. Il sera intéressant de voir les actions menées dans les jours et semaines à venir afin de corriger tout cela.

L'essor de la DeFi rappelle les débuts de Bitcoin (BTC) et d'Ethereum (ETH)

Pourquoi l’essor de la DeFi rappelle tant la jeunesse de Bitcoin (BTC) et Ethereum (ETH) ?

Si quelques mois plus tôt on évoquait la thèse de l’effet de mode, il serait sans doute raisonnable de reconnaitre que la DeFi pose sereinement ses marques dans l’industrie. Un temps pointé du doigt pour ses records en termes de…
Distributeur Bitcoin (ATM)

Bientôt du Bitcoin (BTC) à tous les coins de rues ? Le nombre d’ATM BTC bat tous les records

L’occupation territoriale : une stratégie classique utilisée lors des opérations militaires visant à conquérir du terrain. Bitcoin (BTC) continue sa conquête du terrain avec la multiplication des distributeurs de Bitcoins ou des Bitcoin ATM (BTM) au fil des ans ; ces derniers…
Bitcoin, le vilain petit canard de la finance traditionnelle

Bitcoin (BTC) le 20 septembre 2020 – Merci la FED !

Bitcoin (BTC) se négocie dans la zone des 9 800 USD – 11 130 USD depuis maintenant une semaine. Le BTC a encore 10 jours pour absorber le chandelier rouge mensuel actuel, en montant au-dessus des 11 670 USD. Au menu de notre…
Yearn finance en route pour les 50000 USD

Yearn.Finance (YFI) au-delà des 50000$ ? Impossible pour les uns, déception pour les autres

Yearn.Finance (YFI) : le Bitcoin (BTC) de la DeFi. Bitcoin (BTC) enregistre en réalité actuellement de piètre performance par rapport à son « homologue » de la DeFi qui l’avait d’ailleurs dépassé en seulement 30 jours. Les 100 000 USD ne sont pas encore…