« Réparation » ? En fin de semaine dernière, la société Ledger a subi ce qu’elle résume comme un « incident de sécurité ». Dans les faits, une faille interne à l’entreprise – par le biais d’un ancien employé – a permis à un hacker de corrompre la fonctionnalité Ledger Connect Kit avec une version malveillante.
Résultat, environ 600 000 $ ont été officiellement détournés, même si rapidement, il était déconseillé d’interagir avec des protocoles de la DeFi. L’heure est maintenant venue de faire le bilan. Et, selon les conclusions de Ledger, le problème viendrait principalement des utilisateurs responsables de « signatures aveugles ». Explications…
Ledger : un « incident de sécurité » estimé à 600 000 $
La société Ledger se positionne comme le leader actuel des solutions de type hardware wallet. Ces portefeuilles matériels en capacité de protéger les cryptomonnaies du fait d’un stockage à froid de leurs clés privées.
Une position qui lui vaut d’être la cible privilégiée des hackers et autres adeptes de phishing. Comme par exemple en 2020, lorsque la base de données de ses clients a été mise à jour. Certains reçoivent encore des appels ciblés de son faux service client en quête de fonds à voler…
Une loi des séries qui a de nouveau frappé Ledger en fin de semaine dernière. Avec le détournement reconnu par l’entreprise « d’environ 600 000 $ d’actifs ». Cela suite à une attaque de « phishing sophistiquée », opérée à l’encontre de l’un de ses anciens employés. Et les 44 000 $ en stablecoins USDT gelés par Tether n’y auront pas changé grand-chose.
« Nous nous concentrons à 100 % sur le suivi de l’incident de sécurité de la semaine dernière, en veillant à ce que de tels incidents soient évités à l’avenir et à ce que l’écosystème reste sûr. Nous sommes conscients d’environ 600 000 $ d’actifs touchés, volés aux utilisateurs signant à l’aveugle sur les DApps EVM. »
Ledger
Les victimes devraient obtenir « réparation »
Dans sa communication officielle, Ledger parle très peu de la porte d’entrée de cette « incident de sécurité ». En effet, il est bien plus longuement question de ce que l’entreprise identifie comme les « utilisateurs signant à l’aveugle sur les DApps EVM ». Un problème, certes… mais dans le cas présent principalement car sa fonctionnalité Connect Kit avait été préalablement corrompue.
Quoi qu’il en soit, Ledger s’engage à résoudre ce problème à l’aide d’une « nouvelle norme pour protéger les utilisateurs et encourager la signature claire dans les DApps ». Une très bonne nouvelle qui devrait permettre, d’ici juin 2024, une vérification approfondie de toutes les transactions avant d’effectuer une signature. Nom de code : Clear Signing.
Dans le même temps, la société Ledger s’engage également à « réparer » ou « compenser » – la formule (made whole, en anglais) n’est pas très claire – les utilisateurs lésés dans cette affaire. Même le site The Block place cette formulation entre guillemets. Mais cela semble vouloir dire qu’une « réparation » est possible. Reste à savoir de quelle manière et sous quelle forme.
« Nous nous engageons, par tous les moyens possibles, y compris par des gestes de bonne volonté, à faire en sorte que cela soit fait d’ici la fin février 2024. Nous sommes déjà en contact avec de nombreux utilisateurs concernés et travaillons activement avec eux sur les détails. »
Ledger
La société Ledger ne manque pas de rappeler que « vos appareils Ledger et Ledger Live ont toujours été sécurisés et n’ont pas été rendus vulnérables par cet exploit ». Et dans le cas d’une exposition à cette attaque, un centre d’aide spécifique est officiellement ouvert. Une affaire à suivre…
