Ledger : alerte sur un bug des applications Chrome dédiées à ETH et ETC

Branle-bas de combat le vendredi 3 août dans la matinée chez Ledger !
Un bug affectait les applications Chrome permettant de gérer les frères ennemis de l’Ether, Ethereum (ETH) et Ethereum Classic (ETC).

There is currently an issue on the Ledger Wallet Ethereum Chrome application, showing on screen a static address (same for all users). This looks more like a bug than a compromission. Engineering is working on it, we'll know more soon. PLEASE USE ONLY LEDGER LIVE / MEW MEANWHILE

— Ledger (@Ledger) August 3, 2018

L’attaque des clones

Ledger annonce alors sur Twitter avoir repéré un “bug” qui entraînerait l’affichage d’une même adresse unique de réception pour tous les utilisateurs qui utiliseraient leurs applications Chrome dédiées, lors de l’envoi de fonds ETH et ETC. Les premières anomalies auraient débuté autour de 20h le 2 août.

Dans la foulée, ils incitent fortement leurs utilisateurs à préférer utiliser des solutions tierces pour gérer leurs cryptoactifs, comme MEW ou encore Ledger Live, la nouvelle application propriétaire de Ledger.

Par sécurité, les services sont interrompus sur les deux cryptoactifs dans l’attente de la résolution des problèmes observés à 9h50 le 3 août. En définitive, il s’agissait bien d’un simple bug, et non d’une compromission due à un hack. Ce bug serait dû à la dernière mise à jour déployée par Ledger, bug que l’entreprise s’est donc empressé de corriger au plus vite avant de déployer une nouvelle mise à jour corrective. Depuis, Ledger a communiqué officiellement pour détailler l’incident et ses implications.

Un remboursement des utilisateurs lésés

En définitive, peu d’utilisateurs auraient été impactés sur le temps où les services de Ledger continuaient à fonctionner malgré le bug. L’entreprise annonce avoir identifié 64 transactions au total après investigations.Ces 64 transactions seront couvertes intégralement (frais de transaction compris) par Ledger qui explique rembourser les utilisateurs affectés. Si vous pensez faire partie des utilisateurs en question, vous êtes invités à contacter le support Ledger.

Une menace fantôme que l’on peut mitiger

La nouvelle n’a pas tardé à faire réagir, certains appelant à éviter les points de défaillance que pourraient représenter les tiers de confiance comme Ledger. Pour ce faire, l’utilisation de clients complets “indépendants” permettant par exemple de se connecter directement à son nœud complet personnel (comme Electrum, pour Bitcoin) est conseillée par certains utilisateurs.

Hardware wallets controlling the whole wallet software stack (instead of just signing raw transactions to existing wallets) its a serious security hole to all the crypto. Try not using their companion apps. (it goes the same for @Trezor ) but find some independent wallets. https://t.co/kyRZxOO7Yo

— ZeroPass (@zeropassio) August 3, 2018

Mais l’utilisation de telles solutions est loin d’être adaptée à Monsieur Tout-le-monde, c’est pourquoi Marek Palatinus, PDG de Satoshi Labs et fondateur de Trezor, conseille plutôt de s’en tenir à l’utilisation d’applications dédiées propriétaires, avec une nuance.

Also, if you use hardware wallets properly (you do not trust anything other except its trusted display), you can use any app with it. For example, Trezor Wallet doesn't show you receiving address until you check it on the Trezor, to prevent this kind of attacks.

— slush (@slush) August 3, 2018

Il vaudrait mieux selon lui s’en tenir à vérifier systématiquement l’adresse et le QR code qui sont affichés sur l’écran du hardware wallet, avant de procéder à tout envoi de fonds cryptos vers une nouvelle adresse de réception. En effet, grâce aux systèmes internes de vérification par secure chip (puce sécurisée) inclus dans les hardware wallets, cette adresse ne peut pas en théorie être compromise.

 

Ledger conseille d’ailleurs en définitive d’adopter la même attitude, mais également de laisser tomber les applications Chrome au profit de leur nouvelle application Ledger Live. Dans tous les cas, si vous n’avez pas utilisé les applications Chrome Ethereum de Ledger entre le 2 août 20h et le 3 août 17h, Ledger annonce que vous n’avez pas à vous inquiéter et n’avez pas été affecté.

[es_tradingview symbol= »ethusd » interval= »D » height= »350″ colors= »Light »]

Source : Ledger || Images from Shutterstock