Faille dans le code de Ledger : n’interagissez pas avec la DeFi

Ça chauffe pour Ledger. Ledger est l’une des entreprises fer-de-lance de l’industrie crypto française avec ses hardwares wallets. Malheureusement, une faille a été identifiée dans une partie du code utilisé pour connecter son wallet à la DeFi.

Faille de sécurité chez Ledger

NE CONNECTEZ PAS VOTRE LEDGER À LA DEFI AUJOURD’HUI.

Il y a quelques dizaines de minutes, l’internaute @MatthewLilley a alerté la communauté crypto de la présence d’une faille dans le code de Ledger.

Soyons rassuré, cette faille n’affecte pas directement les wallets Ledger, qui restent sécurisés. Toutefois, elle pourrait compromettre votre sécurité lors de l’interaction avec une application décentralisée.

MatthewLilley titre la sonnette d'alarme

Ainsi, il semblerait que la faille affecte la libraire connect-kit-loader de Ledger, qui permet de connecter son wallet à une application DeFi.

Vous aimez le rugby, les fantasy games et les NFT ?
<strong>Découvrez OVAL3</strong>
Découvrez OVAL3

Origine de la faille et réaction de LEdger

Cependant, comme l’a précisé le développeur Banteg sur X, un bout de code malveillant visant à drainer les fonds a été introduit dans une librairie utilisée dans connect-kit-loader.

« Ledger demande d’utiliser connect-kit loader pour charger connect-kit, mais même si l’on suit les meilleures pratiques et que l’on épingle la version du loader, il récupère la dernière version de connect-kit >=1.0.0, <2.0.0. Cela a permis aux attaquants d’infiltrer un grand nombre de bibliothèques en compromettant uniquement connect-kit. la dernière version connue provenant de ledger est la 1.1.4. trois versions jusqu’à la 1.1.7 ont été publiées aujourd’hui, toutes doivent être considérées comme compromises. »

Explique Banteg sur X.

Un jeu de dépendances dangereux, qui peut, comme dans le cas présent, introduire des failles de manière pernicieuse.

Évidemment, les équipes de Ledger ont été identifiées sur X et la faille a également été mise en évidence sur le GitHub du projet. Par conséquent, la dépendance à la librairie vérolée devrait être retirée dans les plus brefs délais.

Tweet de Ledger
Tweet de Ledger – Source : X

Ledger a de son côté communiqué sur le réseau social X :

« Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. Une version authentique est désormais proposée pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation. Votre appareil Ledger et Ledger Live n’ont pas été compromis. »

En attendant, prudence est mère de sûreté. Nous allons laisser la DeFi pour un jour ou deux, et ne pas prendre le risque d’interagir avec une application DeFi avec notre wallet Ledger.

Si vous aimez le rugby et les jeux de type fantasy game, le projet Oval3 vous propose de vous mesurer à d'autres joueurs dans des competitions où vous allez composer votre dream team à base de NFT
Découvrez Oval3

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.