Faille de sécurité sur le Ledger Nano S – Mise à jour du firmware
Les portefeuilles « hardware » ont la réputation d’être le meilleur moyen de placer les clefs privées correspondant à ses cryptomonnaies dans un endroit sûr. Et pourtant, dans un article technique et détaillé, un jeune britannique de 15 ans du nom de Saleem Rashid présente les failles de sécurité découvertes dans la conception du Ledger Nano S, réputé pour être inattaquable.
Son article intervient quelques mois après son premier échange avec l’entreprise française où il rapportait ses craintes quant à la sécurité de ces appareils, mais sans preuves pour appuyer ses dires. Hier, Saleem Rashid est revenu sur la vulnérabilité du Ledger Nano S en exposant, cette fois-ci, 3 façons différentes de corrompre sa sécurité, avec exemples et lignes de code à l’appui.
Pour résumer, le Ledger Nano S peut être compromis par :
1. L’accès physique à l’appareil avant son utilisation, appelé « attaque logistique ». Cette attaque peut intervenir à tout moment entre le lieu de fabrication jusqu’à la livraison du produit.
2. L’accès physique après la livraison et la mise en place d’un firmware pirate.
3. L’installation d’un malware, en faisant croire à l’utilisateur l’obligation de mettre à jour le portefeuille, et remplaçant alors l’environnement sain par un milieu corrompu.
Ledger n’aura pas attendu pour répondre à ce dévoilement en proposant une mise à jour de son firmware. Malgré tout, les risques que se produisent l’une des ces attaques présentées par Saleem Rashid semblaient marginaux voire irréalistes. Mais dans tous les cas, comme on dit : on n’est jamais trop prudent !