Ledger corrige la vulnérabilité de la chaîne d’approvisionnement de Nano X

Partager l’article
EN BREF
  • Ledger corrige le firmware du Ledger Nano X dans la nouvelle mise à jour.

  • La vulnérabilité est de nature purement physique et fait partie d'une attaque de la chaîne d'approvisionnement.

  • La phrase de passe de 24 mots, les clés privées et le code PIN ne sont pas affectés par l'attaque.

The Trust Project est un consortium international d'organismes de presse basé sur des normes de transparence.

L’équipe de sécurité de Ledger a corrigé un exploit matériel qui pourrait compromettre les portefeuilles Ledger Nano X dans le cadre d’une attaque de la chaîne d’approvisionnement.

À la suite d’un rapport de Kraken Security Labs, une division de cybersécurité de Kraken, qui a montré que le portefeuille matériel Ledger était sensible à une attaque de la chaîne d’approvisionnement, le fabricant de l’appareil a annoncé qu’il avait corrigé le problème avec une nouvelle mise à jour du micrologiciel pour le Ledger Nano X .

Le correctif cible uniquement le Ledger Nano X et non le Ledger Nano S.Le fabricant a déclaré que l’élément sécurisé du portefeuille n’a pas été affecté, ce qui signifie que la vulnérabilité ne compromet pas la sécurité de la phrase de passe de 24 mots, des clés privées et Code PIN.

La vulnérabilité est purement physique et a été entièrement corrigée avec le correctif. L’équipe souligne également que la probabilité de cette attaque est très faible. Ledger a remercié Kraken pour avoir découvert la vulnérabilité, qu’ils disent que le laboratoire de sécurité de Ledger, le Ledger Donjon, avait déjà découvert séparément.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Qu’est-ce que Kraken a découvert?

Le 8 juillet, Kraken Security Labs a identifié deux attaques de chaîne d’approvisionnement qui étaient possibles contre les portefeuilles Ledger Nano X.

Comme son nom l’indique, les attaques de la chaîne d’approvisionnement impliquent une falsification de l’appareil avant qu’il ne soit livré à l’utilisateur. Cela peut se produire n’importe où le long de la chaîne d’approvisionnement, peut-être perpétré par un revendeur malveillant ou en étant intercepté. L’appareil est compromis et ciblé par les attaquants.

Kraken a signalé que le micrologiciel du «processeur non sécurisé» est modifié pour utiliser un protocole de débogage comme périphérique d’entrée, qui peut ensuite envoyer des frappes malveillantes à l’ordinateur hôte de l’utilisateur.

Le rapport se lit comme suit:

Le Ledger Nano X est livré avec la fonctionnalité de débogage activée sur son processeur non sécurisé, une fonctionnalité qui est désactivée dès que la première «application», telle que l’application Bitcoin, est installée sur l’appareil. Cependant, avant toute application installée, l’appareil peut être reflasher avec un micrologiciel malveillant qui peut compromettre l’ordinateur hôte, similaire aux attaques «BadUSB» et «Rubber Ducky».

En bref, l’attaque utilise le portefeuille comme clavier et peut également être utilisée pour exécuter des attaques de logiciels malveillants sur l’ordinateur de la victime.

 

 

 

 

 

 

 

 

 

 

 

 

 

Les portefeuilles matériels sont toujours les plus sûrs, mais les mises à jour sont toujours nécessaires
Ledger est l’un des portefeuilles matériels les plus populaires sur le marché et agit comme une solution de stockage hors ligne utilisée par les investisseurs pour stocker en toute sécurité de grandes quantités de leurs investissements en actifs numériques.

Bien que beaucoup plus sûrs que les portefeuilles Web, de bureau et mobiles, les équipes de sécurité publient régulièrement des rapports prouvant que la protection n’est pas étanche. À leur crédit, les fabricants comme Ledger et Trezor ont historiquement corrigé les problèmes peu de temps après leur découverte.

Un récent rapport publié par HTF MI a montré que l’achat de portefeuilles matériels avait ralenti à la suite de la pandémie de COVID-19. Cependant, les solutions de stockage sécurisé continuent d’être un domaine de recherche et de développement solide à mesure que de plus en plus d’investisseurs entrent sur le marché.

 

Vous souhaitez vous joindre à la communauté BeInCrypto?
Rejoignez gratuitement notre groupe Telegram pour des nouvelles exclusives, des conseils de trading et une foule d’interactions avec d’autres passionnés de cryptomonnaies. 

 

Avis de non-responsabilité

Toutes les informations présentes sur notre site web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action entreprise par le lecteur sur la base des informations trouvées sur notre site web est entièrement à ses propres risques.
Share Article

Rahul Nambiampurath is an India-based Digital Marketer who got attracted to Bitcoin and the blockchain in 2014. Ever since, he's been an active member of the community. He has a Masters degree in Finance. <a href="mailto:editorinchief@beincrypto.com">Email me!</a>

SUIVRE CET AUTEUR

Faites du trading avec les meilleurs signaux crypto - des profits garantis avec plus de 70% d’exactitude

Adhérez

Want to learn how to trade? Get a beginners guide from BeInCrypto Academy!

Learn now