Faille dans le code de Ledger : n’interagissez pas avec la DeFi
Ça chauffe pour Ledger. Ledger est l’une des entreprises fer-de-lance de l’industrie crypto française avec ses hardwares wallets. Malheureusement, une faille a été identifiée dans une partie du code utilisé pour connecter son wallet à la DeFi.
Faille de sécurité chez Ledger
NE CONNECTEZ PAS VOTRE LEDGER À LA DEFI AUJOURD’HUI.
Il y a quelques dizaines de minutes, l’internaute @MatthewLilley a alerté la communauté crypto de la présence d’une faille dans le code de Ledger.
Soyons rassuré, cette faille n’affecte pas directement les wallets Ledger, qui restent sécurisés. Toutefois, elle pourrait compromettre votre sécurité lors de l’interaction avec une application décentralisée.
Ainsi, il semblerait que la faille affecte la libraire connect-kit-loader de Ledger, qui permet de connecter son wallet à une application DeFi.
Origine de la faille et réaction de LEdger
Cependant, comme l’a précisé le développeur Banteg sur X, un bout de code malveillant visant à drainer les fonds a été introduit dans une librairie utilisée dans connect-kit-loader.
« Ledger demande d’utiliser connect-kit loader pour charger connect-kit, mais même si l’on suit les meilleures pratiques et que l’on épingle la version du loader, il récupère la dernière version de connect-kit >=1.0.0, <2.0.0. Cela a permis aux attaquants d’infiltrer un grand nombre de bibliothèques en compromettant uniquement connect-kit. la dernière version connue provenant de ledger est la 1.1.4. trois versions jusqu’à la 1.1.7 ont été publiées aujourd’hui, toutes doivent être considérées comme compromises. »
Explique Banteg sur X.
Un jeu de dépendances dangereux, qui peut, comme dans le cas présent, introduire des failles de manière pernicieuse.
Évidemment, les équipes de Ledger ont été identifiées sur X et la faille a également été mise en évidence sur le GitHub du projet. Par conséquent, la dépendance à la librairie vérolée devrait être retirée dans les plus brefs délais.
Ledger a de son côté communiqué sur le réseau social X :
« Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. Une version authentique est désormais proposée pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation. Votre appareil Ledger et Ledger Live n’ont pas été compromis. »
En attendant, prudence est mère de sûreté. Nous allons laisser la DeFi pour un jour ou deux, et ne pas prendre le risque d’interagir avec une application DeFi avec notre wallet Ledger.