Après les critiques, Ledger décide de mettre à jour son logiciel pour contrer l’attaque MITM

Le 3 février, une vulnérabilité affectant tout particulièrement les applications Chrome du fournisseur de portefeuilles physiques français avait été rendue publique. Cette dernière permettait à un pirate de changer à sa guise les adresses de réception sans qu’il soit parfois possible pour l’utilisateur de s’en rendre compte.

Ledger aura finalement décidé de procéder aux changements proposés par les individus ayant mis au jour la faiblesse de sécurité de type man-in-the-middle publiée samedi dernier. L’attaque en question, relativement aisée et surtout particulièrement difficile à détecter dans certains cas (l’extension Ethereum de la société n’intégrait aucun moyen de vérification), rendait possible l’usurpation ou la modification du logiciel Ledger sur un ordinateur piraté, afin d’y afficher une adresse de réception fausse de manière transparente.

Les utilisateurs n’étaient pas incités à vérifier la véracité des informations qui apparaissaient sur leur ordinateur

La sécurité de l’appareil en lui même n’était pas remise en question, mais la conception des extensions Chrome qui ne forçaient pas l’affichage préalable de l’adresse sur les Ledger, conférait à une telle attaque un taux élevé de réussite. Les utilisateurs n’étaient jusqu’alors pas au courant de ce possible vecteur d’usurpation et n’étaient pas incités à vérifier sur leur clé (quand cela était possible) la véracité des informations qui apparaissaient sur leur ordinateur possiblement vérolé.

Cette vulnérabilité, relayée par CryptoActu puis par news.bitcoin.com avec un titre autrement plus sensationnel, avait suscité moult débats sur la toile. Pour certains, le refus de Ledger d’intégrer l’amélioration proposée par les chercheurs qui consiste à forcer l’affichage sur le hardware wallet était « irresponsable ». Pour d’autres cette information était un « FUD ». Notre article – pourtant neutre et dont nous jugions important de partager l’information au public – avait même été amèrement accueilli par le Twitter du forum CryptoFR.

Les possesseurs devront désormais confirmer l’adresse

Depuis le 26 décembre 2017, TREZOR, le principal concurrent de Ledger, a déployé une mise à jour de son logiciel pour forcer la vérification de l’adresse affichée sur ses matériels (comme proposé dans le document explicatif de l’attaque), réduisant de facto les chances de réussite d’un détournement. Il est bien évidemment toujours possible pour un pirate de modifier l’application – ou simplement d’en installer une fausse version – pour qu’elle ne présente pas cette étape et affiche directement la (fausse) adresse, mais l’absence de ce palier est probablement assez disruptive pour mettre la puce à l’oreille aux potentielles victimes.

Interrogé par CryptoActu à propos de la pertinence d’une telle mesure, le CTO de Ledger avait cependant indiqué que celle-ci était une « amélioration mineure qui décale le problème plus loin »

C'est une amélioration mineure qui décale le problème plus loin (typiquement quand l'utilisateur quitte l'adresse des yeux). Il faut prendre le réflexe de le faire automatiquement et éduquer out of band (par exemple une notice supplémentaire, plus de communication etc)

— Nicolas Bacca (@BTChip) February 4, 2018

Mais dans un article publié hier soir par la firme, le chef de la sécurité de Ledger Charles GUILLEMET a annoncé la publication prochaine d’une mise à jour qui force bel et bien l’affichage de cette donnée sur les clés de la marque.

« Chez Ledger, nous nous efforçons de fournir à nos utilisateurs un moyen simple et sûr de gérer leurs actifs cryptographiques. Afin d’éviter tout détournement, nous continuerons à fournir à notre communauté des services et informations supplémentaires (dont le fait de) mettre à jour l’expérience utilisateur sur la version actuelle de l’application Ledger Wallet Bitcoin Chrome afin que l’utilisateur soit tenu de vérifier l’adresse sur l’écran du périphérique […] »

Ledger semble avoir moyennement apprécié cette histoire dont la publication avait montré l’absence de programme bounty – qui permet à des individus de partager à l’équipe de développement des bogues et failles -. Cette lacune qui aurait peut-être permis d’éviter cet épisode est désormais comblée, la société annonçant à l’occasion la mise en place d’un courriel dédié à cette tâche.