France : le CTO de Ledger fait un point sur la sécurité des portefeuilles

Charles Guillemet, CTO de Ledger, a récemment fait le point sur la sécurité des portefeuilles de stockage suite à de multiples controverses. La société française spécialisée dans la sécurité et le stockage de cryptomonnaies s’est faite consécutivement voler sa base de données client puis accuser de ne pas corriger une vulnérabilité détectée par un chercheur. Les récents événements sont-ils simplement quelques semaines difficiles, ou bien y a-t-il un réel problème chez Ledger ?  

Mise au point sur le vol de la base client

Charles Guillemet, responsable technique de Ledger, a déclaré :

En ce qui concerne la violation de la base de données, un attaquant a eu accès à une partie de notre base de données e-commerce et de marketing grâce à la clé API d’un tiers qui a été mal configurée sur notre site web, ce qui a permis un accès non autorisé aux coordonnées de nos clients et aux données des commandes.

En effet, le fabricant français de stockage de cryptomonnaies avait déclaré fin juillet s’être fait subtiliser sa base de données contenant 1 million d’e-mails de clients et prospects. Un sous-ensemble de cette base contenait même les noms, prénoms, adresses et numéros de téléphone de plus de 9 000 clients. Toutefois, les informations dérobées ne concernaient aucune information de paiement et aucun identifiant. Charles Guillemet a expliqué que Ledger avait toute suite corrigé le problème et désactivé la clé API défectueuse. Il a ajouté :

Cette violation de données n’a aucun lien ni aucun impact sur le matériel de stockage et sur l’application Ledger Live (…) Les fonds en cryptomonnaie des clients ont toujours été en sécurité et ne sont pas en danger.  

Mise au point sur la vulnérabilité du logiciel

Peu de temps après le vol de la base de données client, les détenteurs d’appareils Ledger ont appris le 5 août qu’une autre difficulté avait touché la société. Dans le cadre d’un programme de détection de bug lancé par Ledger, un chercheur en cybersécurité avait trouvé une faille dans le matériel fabriqué par la firme. Mo Nokhbeh a relevé que le portefeuille Ledger n’isolait pas correctement les applications responsables de l’autorisation des transactions. La faille pouvait permettre à un pirate de dérober des bitcoins lors du transfert d’un autre coin issu d’un fork du BTC, tel que Bitcoin Cash (BCH) et Litecoin (LTC). Ledger a publié une mise à jour du logiciel le jour même pour corriger la vulnérabilité. Le société Ledger s’est exprimée au sujet de la découverte de cette faille de sécurité :

Nous aimerions vous assurer que cette vulnérabilité ne peut pas être utilisée pour obtenir des données sensibles comme vos clés privées ou votre phrase de récupération.

Bien que les portefeuilles de Ledger fournissent les garanties d’une sécurité renforcée, les utilisateurs doivent toujours rester attentifs et connaîtres les bonnes pratiques pour protéger leurs cryptomonnaies.