Ce qui est à toi, est à moi – La branche sécurité de la plateforme d’échanges Kraken a pris l’habitude de cracker les hardwares wallets. Après Trezor et de Keepkey, c’est le célèbre Ledger Nano X qui semble présenter deux points d’attaques.
Attention, pas de panique excessive, pour que ces attaques fonctionnent, elles nécessitent toutes les deux que la Ledger Nano X passe d’abord par des mains malveillantes, avant d’arriver à son propriétaire. Cela peut donc être le cas si le portefeuille électronique est acheté à un revendeur mal intentionné, ou s’il est intercepté à un moment entre son envoi et sa réception.
L’attaque de la « méchante » Ledger
Le 8 juillet dernier, les spécialistes en cybersécurité de Kraken Security Labs ont présenté deux failles qui pourraient compromettre la sécurité du célèbre hardware wallet Ledger Nano X. Elles nécessitent toutefois un accès physique au Ledger, ce qui limite tout de même les risques.
La première attaque, surnommée « Bad Ledger » par les équipes de Kraken, consiste à reprogrammer le firmware (micrologiciel) de la Ledger Nano X. Cela afin qu’elle agisse comme un périphérique de saisie (un clavier par exemple) qui peut envoyer automatiquement des instructions – comme des raccourcis clavier – pour effectuer des actions malveillantes sur l’ordinateur hôte.
Dans la vidéo de démonstration ci-dessous, une Ledger Nano X “infectée” par les soins de Kraken ouvre automatiquement une page de navigateur internet, avant de taper « kraken.com » et de valider son affichage. Si, au lieu de cela, un logiciel malveillant avait été exécuté, on imagine aisément les dégâts possibles.
L’attaque de la Ledger « aveugle »
La seconde attaque, surnommée « Blind Ledger » consiste à faire éteindre l’écran de la Ledger Nano X. Un code malveillant, installé préalablement sur le processeur du portefeuille, pourrait ainsi éteindre l’écran à un moment crucial d’une transaction.
Les experts de Kraken Labs estiment alors qu’un logiciel malveillant sur un ordinateur – une fausse application Ledger Live par exemple – pourrait, après avoir exécuté l’arrêt de l’écran de la Ledger, afficher un message sur l’ordinateur du style « Votre Ledger Nano X a cessé de répondre, veuillez maintenir les deux boutons enfoncés pour redémarrer l’appareil ».
Sauf qu’en faisant cela, la victime pourrait valider une transaction frauduleuse vers le wallet du hacker. Comme l’affichage du Ledger est désactivé, l’utilisateur ne s’en apercevra même pas.
Avant de révéler publiquement sa découverte, Kraken Labs a bien sûr communiqué tous les détails de ces attaques aux équipes de Ledger, le 9 avril dernier. Au moment d’écrire ces lignes, nous n’avons pas eu connaissance de réponses de Ledger au sujet de ces failles.
Comme le recommande Kraken Labs, assurez-vous de vous procurer vos hardware wallets auprès des fabricants ou de revendeurs de confiance, bien réputés. De même, évitez de connecter à votre ordinateur tout périphérique USB dont vous ne connaîtriez pas l’origine ou la fiabilité.
