MàJ: Découverte d’une vulnérabilité sur les hardware wallets de Ledger

03 février 2018 - 18:40

Temps de lecture : 3 minutes

Par Victor

MàJ 04/02/18: Précision et ajout de la réaction du CTO de Ledger. Voir en bas de l’article

Une faiblesse de sécurité concernant les portefeuilles physiques a été découverte. Visant initialement les produits de la société Ledger, cette vulnérabilité affecterait « tous les vendeurs de portefeuille matériel » d’après la marque.

Une vulnérabilité permettant à un pirate de détourner des crypto-monnaies initialement destinées à un portefeuille physique a été rendue publique. Cette attaque de type man-in-the-middle rend possible la modification de l’adresse de réception par celle de l’attaquant. Dans certains cas,  il n’y aurait aucune manière de contrer le problème.

C’est dans un document publié sur internet par un internaute que la « faille » est expliquée. Cette dernière lève le voile sur la possibilité pour un hacker de modifier le code des logiciels Ledger pour y remplacer l’adresse sur laquelle le possesseur de l’appareil est censé recevoir ses jetons cryptographiques. Celle affichée par le programme sera alors complètement différente. C’est donc l’adresse de réception du Ledger qui est visée par cette vulnérabilité et non pas l’adresse d’envoi, qui s’affiche elle sur l’appareil avant de procéder à une transaction.

Un programme malicieux lancé sur la machine d’un utilisateur peut en effet avoir un accès direct aux fichiers des différentes extensions Chrome de Ledger pour y modifier une simple ligne de code. Ces fichiers étant de plus stockés dans un répertoire non protégé de l’ordinateur, aucun privilège administrateur n’est requis pour effectuer cette modification.

L’« élément sécurisé » présent dans la clé vérifie bien qu’aucune donnée n’ait été altérée en son sein pour empêcher l’utilisation d’un matériel compromis, mais ce n’est pas le cas pour les extensions elles-mêmes. Tout sera donc transparent pour la victime qui, dans la plupart des cas, ne se rendra compte de rien.

Dans ces conditions, la seule possibilité de vérifier que l’adresse affichée est bien la bonne est de faire apparaitre l’adresse sur le produit grâce au bouton disponible sur la page de réception du portefeuille Bitcoin (ce bouton est visible sur la capture ci-dessus, sous forme d’ordinateur). Malheureusement, d’après les dires du CEO de Ledger, cette option n’est pas disponible pour l’extension Ethereum.


Contactée par les chercheurs, la société Ledger n’a pas souhaité mettre en place le correctif proposé, qui consistait à forcer l’affichage de l’adresse de réception directement sur l’appareil.

« Nous avons communiqué directement avec le chef de la direction et le directeur technique de Ledger pour divulguer et régler le problème. Nous avons reçu une seule réponse, demandant de transmettre les détails de l’attaque. Depuis lors, tous nos mails ont été ignorés pendant 3 semaines, recevant finalement pour réponse qu’ils ne publieront pas de correction/modification. »

Ledger a cependant communiqué sur cette publication, demandant à ses clients de cliquer manuellement sur le bouton en question, tout en ne manquant pas de rappeler que tous les fabricants peuvent être affectés par ce type de vulnérabilité.

La page indiquant les «principes de sécurité de base » a par la suite été mise à jour pour intégrer cette étape.

Mise à jour: Depuis le 26 décembre TREZOR, le concurrent principal de Ledger, a introduit l’obligation de la vérification de l’adresse de réception. Contrairement à ce qui a pu être insinué par Ledger, TREZOR n’est pas affecté par cette faiblesse.f Précision: Une telle mesure permet de réduire la réussite d’une attaque en habituant l’utilisateur à l’affichage de l’adresse sur l’appareil. Il sera toujours possible de procéder à celle-ci en modifiant le logiciel, mais l’adresse ne s’affichera ensuite pas sur le produit.

Mise à jour 2 (04/02/18): Le CTO de Ledger a réagit sur Twitter à notre article, indiquant qu’un malware présent sur l’ordinateur infecté peut de toute façon présenter une page différente du logiciel Ledger. « Il faut juste toujours prendre l’habitude de vérifier les adresses générées».

Répondant à nos interrogations sur l’utilité de la mesure prise par TREZOR, il explique dans un second tweet:

L’application Ethereum devrait prochainement être mise à jour pour intégrer le bouton permettant la vérification de l’adresse sur les appareils Ledger.

Recevez le top 3 de l'actualité crypto chaque dimanche