L’équipe de sécurité de Ledger a corrigé un exploit matériel qui pourrait compromettre les portefeuilles Ledger Nano X dans le cadre d’une attaque de la chaîne d’approvisionnement.
À la suite d’un rapport de Kraken Security Labs, une division de cybersécurité de Kraken, qui a montré que le portefeuille matériel Ledger était sensible à une attaque de la chaîne d’approvisionnement, le fabricant de l’appareil a annoncé qu’il avait corrigé le problème avec une nouvelle mise à jour du micrologiciel pour le Ledger Nano X .
SponsoredLe correctif cible uniquement le Ledger Nano X et non le Ledger Nano S.Le fabricant a déclaré que l’élément sécurisé du portefeuille n’a pas été affecté, ce qui signifie que la vulnérabilité ne compromet pas la sécurité de la phrase de passe de 24 mots, des clés privées et Code PIN.
La vulnérabilité est purement physique et a été entièrement corrigée avec le correctif. L’équipe souligne également que la probabilité de cette attaque est très faible. Ledger a remercié Kraken pour avoir découvert la vulnérabilité, qu’ils disent que le laboratoire de sécurité de Ledger, le Ledger Donjon, avait déjà découvert séparément.
Qu’est-ce que Kraken a découvert?
Le 8 juillet, Kraken Security Labs a identifié deux attaques de chaîne d’approvisionnement qui étaient possibles contre les portefeuilles Ledger Nano X.
Comme son nom l’indique, les attaques de la chaîne d’approvisionnement impliquent une falsification de l’appareil avant qu’il ne soit livré à l’utilisateur. Cela peut se produire n’importe où le long de la chaîne d’approvisionnement, peut-être perpétré par un revendeur malveillant ou en étant intercepté. L’appareil est compromis et ciblé par les attaquants.
Kraken a signalé que le micrologiciel du «processeur non sécurisé» est modifié pour utiliser un protocole de débogage comme périphérique d’entrée, qui peut ensuite envoyer des frappes malveillantes à l’ordinateur hôte de l’utilisateur.
SponsoredLe rapport se lit comme suit:
Le Ledger Nano X est livré avec la fonctionnalité de débogage activée sur son processeur non sécurisé, une fonctionnalité qui est désactivée dès que la première «application», telle que l’application Bitcoin, est installée sur l’appareil. Cependant, avant toute application installée, l’appareil peut être reflasher avec un micrologiciel malveillant qui peut compromettre l’ordinateur hôte, similaire aux attaques «BadUSB» et «Rubber Ducky».
En bref, l’attaque utilise le portefeuille comme clavier et peut également être utilisée pour exécuter des attaques de logiciels malveillants sur l’ordinateur de la victime.
Les portefeuilles matériels sont toujours les plus sûrs, mais les mises à jour sont toujours nécessaires
Ledger est l’un des portefeuilles matériels les plus populaires sur le marché et agit comme une solution de stockage hors ligne utilisée par les investisseurs pour stocker en toute sécurité de grandes quantités de leurs investissements en actifs numériques.
Bien que beaucoup plus sûrs que les portefeuilles Web, de bureau et mobiles, les équipes de sécurité publient régulièrement des rapports prouvant que la protection n’est pas étanche. À leur crédit, les fabricants comme Ledger et Trezor ont historiquement corrigé les problèmes peu de temps après leur découverte.
Un récent rapport publié par HTF MI a montré que l’achat de portefeuilles matériels avait ralenti à la suite de la pandémie de COVID-19. Cependant, les solutions de stockage sécurisé continuent d’être un domaine de recherche et de développement solide à mesure que de plus en plus d’investisseurs entrent sur le marché.
